Colateral falso / rug en Defrost Finance
El compromiso del owner añadió un colateral falso a Defrost Finance en Avalanche y liquidó todas las posiciones por ~12 M$. La mayoría se devolvió.
- Fecha
- Víctima
- Defrost Finance
- Cadena(s)
- Estado
- Recuperado
El 23 de diciembre de 2022, Defrost Finance en Avalanche perdió aproximadamente 12 millones de dólares cuando una acción privilegiada del owner añadió un token de colateral malicioso y fijó un precio manipulado, disparando la liquidación masiva de todas las posiciones de usuarios al atacante. El compromiso fue un problema de clave del owner (robo o insider). Tras negociación, la mayoría de los fondos fueron devueltos.
Qué ocurrió
El rol de owner de Defrost podía añadir tipos de colateral y oráculos. Se añadió un token de colateral malicioso con un precio fijado por el atacante; el protocolo entonces liquidó cada posición contra él, transfiriendo el colateral de los usuarios al atacante (~12 M$). Tras la presión pública y la negociación, la mayor parte fue devuelta.
Por qué importa
Defrost combina dos elementos básicos del catálogo: el control privilegiado de colateral/oráculo por parte del owner (Fortress) y la ambigüedad entre compromiso de clave e insider (Grand Base). La regla estructural: el poder de añadir un tipo de colateral y su precio es el poder de liquidar todo el protocolo; esa autoridad debe estar bajo timelock y multi-firma, nunca una sola acción del owner. La recuperación casi total lo convierte en uno de los mejores desenlaces del catálogo, pero el diseño —a una llamada privilegiada de la pérdida total— es la lección perdurable.
Fuentes y evidencia on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-defrost-finance-hack-december-2022
- [02]coindesk.comhttps://www.coindesk.com/business/2022/12/26/defrost-finance-says-hacked-funds-have-been-returned
- [03]crypto.newshttps://crypto.news/defrost-finance-stolen-funds-have-been-reimbursed/