Új kriptográfiai hacket fedeztek fel ma: ezúttal az Ethereum és az Optimism láncokon lévő DeFi Arcadia Finance protokollt támadták meg sikeresen.
A PeckShieldAlert a Twitteren közölte a hírt, és arról számolt be, hogy a hack körülbelül 455,000 XNUMX dollárt szerzett a támadóknak.
A feltörést később maguk az Arcadia Finance üzemeltetői is megerősítették.
Néhány óra elteltével arról számoltak be, hogy sikerült felvenniük a kapcsolatot a hackerrel, és együttműködnek biztonsági partnereikkel, a bűnüldöző szervekkel és a közösséggel, hogy a lehető legjobban megoldják a problémát a pénz visszaszerzése érdekében. protokoll felhasználók.
A hiba, amely a kriptográfiai hackhez vezetett
A PeckShield szerint az Arcadia Finance intelligens szerződésének feltörése annak volt köszönhető, hogy a nem megbízható bemeneti validálást a darcWETH és a darcUSDC tartalékokból való források elszívására használták ki.
A darcWETH és a darcUSDC két becsomagolt Arcadia Finance token, így mindegyikük tartalékot tartalmaz.
Elméletileg minden darcWETH tokenhez egy WETH tokennek kell lennie a tartalékokban, és minden darcUSDC tokenhez egy USDC tokennek kell lennie.
Nyilvánvalóan a két becsomagolt token tartalékait kezelő intelligens szerződésben volt egy hiba, amelyet a támadók ki tudtak használni.
Továbbá a PeckShield felfedezte az újrabelépés elleni védelem hiányát ezekben az intelligens szerződésekben, ami ily módon lehetővé tette az azonnali elszámolás megkerülését a tartalékkezelő belső állapotellenőrzésének.
Az igazság kedvéért Arcadia később cáfolta ezt a rekonstrukciót, de nem tudott más magyarázatot adni.
Az alapok nagy részét ellopták az Optimism láncától, majd a Tornado Cash jóvoltából átköltöztették őket, hogy elveszítsék a nyomukat.
Az Arcadia Finance protokoll
Az Arcadia Finance egy DeFi protokoll az Ethereum és az Optimism rendszeren, amely nem rendelkezik saját natív tokennel.
A feltörés előtt a TVL-je körülbelül 600,000 145,000 dollár volt, míg a lopás után XNUMX XNUMX dollárra zuhant.
Ez egy nem őrizetbe vételi protokoll, amely lehetővé teszi a láncon belüli, határokon átnyúló számlák összeállítását.
Ezen fedezeti számlák felhasználói teljes pénztárcát biztosíthatnak, akár 10-szer több tőkéhez férhetnek hozzá, mint a kezdeti fedezeti értékük, és a letétbe helyezett biztosítékot és a kölcsöntőkét bármilyen más DeFi protokollal való engedély nélküli interakcióra használhatják.
A hitelezők likviditást biztosítanak az Arcadia hitelkészletei számára, passzív hozamot érve el.
Mivel nem voltak őrizetben, a hackerek nem tudtak pénzt lopni közvetlenül a felhasználók pénztárcájából, hanem a darcWETH és a darcUSDC tokenek kibocsátásához használt tartalékokból.
Így a darcWETH-t vagy a darcUSDC-t nem lopták el közvetlenül a felhasználók pénztárcájából, de a WETH-t és az USDC-t abból a tárcából, amelyen a tartalékokat tárolták. Ez azt jelenti, hogy már nincs 1 WETH minden kiadott darcWETH után, és 1 USDC minden kibocsátott darcUSDC után, így gyakorlatilag a felhasználók továbbra is megvannak az összes becsomagolt tokenek, de már nem tudják beváltani azokat.
A probléma a becsomagolt tokenekkel
Gyakran mondják, hogy a szabadságvesztés nélküli pénztárcák biztonságosak, ha megfelelően tárolják és karbantartják, de néha a kockázatok az áramlás előtt rejlenek.
Valójában minden nem őrizetbe vett pénztárca esetében alig van különbség az eredeti tokenek, például az USDC, vagy a becsomagolt tokenek, például a darcUSDC tárolása között.
A becsomagolt tokenek azonban egy további kockázati réteggel is járnak. Valójában a biztosíték őrzését nem maguk a felhasználók végzik a nem letéti pénztárcájukon, hanem a becsomagolt tokenek kezelői.
Valójában ez nem sokban különbözik a letéti pénztárcától, mivel a biztosíték őrzése bizonyos szempontból egyenértékű a becsomagolt tokenek őrizetével.
Ezért még akkor is, ha a becsomagolt tokeneket tartó felhasználók pénztárcáját nem sértik fel, a tartalék pénztárcák megsértése esetén a felhasználók továbbra is elveszíthetik pénzeszközeiket, egyszerűen azért, mert amíg még megvannak a becsomagolt tokenek, már nem tudják beváltani azokat. Valós értékük ilyen módon gyakorlatilag nullára megy.
Ez igazából az USDC-re is vonatkozik, mert bár ez nem egy becsomagolt token, de egy fedezett stablecoin, azaz fedezetként tartalékokkal rendelkezik, amelyeket egyetlen entitás (Circle) tart és kezel.
A bekövetkezett hack hatása a kriptopiacokra
Ennek a hacknek a kriptopiacokra gyakorolt hatása szinte nulla volt, ha kizárjuk a becsomagolt darcWETH és darcUSDC tokeneket.
Az OP, amely az Optimism natív tokenje, szintén nem szenvedett komoly veszteségeket, olyannyira, hogy az ára ma egy vonalban mozgott sok más hasonló tokenével.
Ugyanakkor a 455,000 XNUMX dollár nem olyan sok, és mára a kriptopiacokon kialakult egy szokás az ilyen típusú lopásokra a DeFi protokollokon.
Ráadásul a DeFi nem a Bitcoinról szól, és jelenleg a Bitcoin diktálja a trendet a kriptopiacokon.
Az ehhez hasonló helyzetek csak arra szolgálnak, hogy jobban megértsék a DeFi protokollok használatával járó kockázatokat, különösen akkor, ha azok rejtve vannak, mint például a becsomagolt tokenek esetében.
Valami sokkal rosszabb történt márciusban, amikor kiderült, hogy a Circle az USDC-tartalékok jelentős részét a csődbe ment Silvergate bankon tartja, olyannyira, hogy egy pillanatra attól tartottak, hogy a stabilcoin elveszíti a dollárhoz való kötését.
Ekkor azonban az Egyesült Államok központi bankja közvetlenül beavatkozott, hogy fedezze az összes hiányt, és így minden Silvergate betétes visszaadta minden pénzét.
Forrás: https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/