Uus krüptohäkk Ethereumis ja Optimismis

Täna avastati uus krüptohäkk: seekord rünnati edukalt Ethereumi ja Optimismi kettide DeFi Arcadia Finance'i protokolli.

PeckShieldAlert edastas uudise Twitteris, teatades, et häkkimine andis ründajatele umbes 455,000 XNUMX dollarit.

Häkkimist kinnitasid hiljem ka Arcadia Finance'i operaatorid ise.

Oleme teadlikud meie protokolli võimalikust ärakasutamisest.
Oleme lepingud peatanud ja uurime koos turvaekspertidega algpõhjust. Lisateavet tuleb pärast seda, kui see saadaval on.
— Arcadia Finance (@ArcadiaFi) Juuli 10, 2023

Mõne tunni pärast teatasid nad, et neil õnnestus häkkeriga kontakti saada ning nad tegid koostööd oma turvapartnerite, õiguskaitseorganite ja kogukonnaga, et probleem võimalikult hästi lahendada, püüdes raha tagasi saada. protokolli kasutajad.

Viga, mis viis krüptohäkkimiseni

PeckShieldi sõnul oli Arcadia Finance'i nutika lepingu häkkimine tingitud sellest, et ebausaldusväärse sisendi valideerimist kasutati raha äravooluks darcWETHi ja darcUSDC reservidest.

darcWETH ja darcUSDC on kaks pakendatud Arcadia Finance žetoonit, nii et mõlemad sisaldavad reserve.

Teoreetiliselt peaks iga darcWETH-märgi jaoks olema reservides WETH-märk ja iga darcUSDC-märgi jaoks peaks olema USDC-märk.

Ilmselt oli nutikas lepingus, mis haldab nende kahe pakitud märgi varusid, viga, mida ründajad said ära kasutada.

Lisaks avastas PeckShield nendes nutikates lepingutes taassisenemiskaitse puudumise, mis võimaldas sel viisil kiirarveldusel reservide halduri sisemisest olekukontrollist mööda minna.

Lisaks puudub taassisenemise kaitse, mis võimaldab kohesel likvideerimisel sisemisest varahoidla tervisekontrollist mööda minna. pic.twitter.com/Am58ZOvgQJ
- PeckShield Inc. (@peckshield) Juuli 10, 2023

Ausalt öeldes lükkas Arcadia selle ümberehituse hiljem ümber, kuid ei suutnud pakkuda alternatiivset seletust.

Suurem osa rahalistest vahenditest varastati Optimismi ketist ja seejärel liigutati need tänu Tornado Cashile, et neil jälge kaotada.

Arcadia Finance'i protokoll

Arcadia Finance on Ethereumi ja Optimismi DeFi-protokoll, millel pole oma loomulikku tunnust.

Enne häkkimist oli selle TVL umbes 600,000 145,000 dollarit, pärast vargust langes see aga XNUMX XNUMX dollarini.

See on mittevahistamisprotokoll, mis võimaldab koostada ahelasiseseid ristmarginaali kontosid.

Nende marginaalikontode kasutajad saavad tagatiseks panna terveid rahakotte, pääseda ligi kuni 10 korda suuremale kapitalile kui nende esialgne tagatisväärtus ning kasutada hoiustatud tagatist ja laenatud kapitali mis tahes muu DeFi protokolliga loata suhtlemiseks.

Laenuandjad pakuvad Arcadia laenukogumitele likviidsust, teenides passiivset tulu.

Kuna häkkerid ei olnud vahi all, ei saanud häkkerid varastada raha otse kasutajate rahakotist, vaid pigem nendest, mida kasutati pakitud žetoonide darcWETH ja darcUSDC väljastamiseks.

Seega ei varastatud otse kasutajate rahakotist ühtegi darcWETH-i ega darcUSDC-d, vaid WETH ja USDC varastati rahakotist, millel reserve hoiti. See tähendab, et iga väljastatud darcWETH-i kohta ei ole enam 1 WETH ega iga väljastatud darcUSDC kohta 1 USDC, nii et tegelikult on kasutajatel kõik mähitud märgid endiselt pakitud, kuid nad ei saa neid enam lunastada.

Probleem pakitud žetoonidega

Tihti öeldakse, et vangistuseta rahakotid on nõuetekohase ladustamise ja hooldamise korral ohutud, kuid mõnikord peituvad riskid ülesvoolu.

Tõepoolest, mis tahes vabadusekaotuseta rahakoti puhul on algsete žetoonide (nt USDC) või pakitud märkide (nt darcUSDC) salvestamisel vähe erinevusi.

Pakendatud žetoonidel on aga täiendav riskikiht. Tegelikult ei tegele tagatise hoidmisega mitte kasutajad ise oma tagatiseta rahakoti pealt, vaid pakendatud žetoonide haldajad.

Tegelikult ei erine see kuigivõrd rahakotist, kuna tagatise hoidmine on mõnes mõttes samaväärne pakitud žetoonide hoidmisega.

Seega, isegi kui pakendatud žetoone omavate kasutajate rahakotte ei rikuta, võivad kasutajad reservrahakottide rikkumise korral oma raha siiski kaotada, sest kui neil on veel pakitud märgid, ei saa nad neid enam lunastada. Nende tegelik väärtus sel viisil läheb tegelikult nulli.

See kehtib tegelikult ka USDC kohta, sest kuigi see ei ole pakendatud märk, on see tagatisega stabiilne münt, mis tähendab, et sellel on tagatisena reserve, mida hoiab ja haldab üks üksus (Circle).

Toimunud häkkimise mõju krüptoturgudele

Selle häkkimise mõju krüptoturgudele on olnud peaaegu null, kui jätta välja pakitud märgid darcWETH ja darcUSDC.

OP, mis on Optimismi native token, ei ole samuti tõsiseid kahjusid kandnud, nii et selle hind liikus täna paljude teiste sarnaste märkide omadega.

Samas ei ole 455,000 XNUMX dollarit nii palju ja praeguseks on krüptoturgudel välja kujunenud harjumus DeFi protokollide vargusteks.

Veelgi enam, DeFi ei puuduta Bitcoini ja praegu dikteerib krüptoturgude trendi just Bitcoin.

Sellised olukorrad aitavad paremini mõista DeFi-protokollide kasutamisega kaasnevaid riske, eriti kui need on peidetud, nagu näiteks mähitud žetoonide puhul.

Märtsis oli juhtunud midagi palju hullemat, kui avastati, et Circle hoidis märkimisväärset osa USDC reservidest ebaõnnestunud Silvergate'i pangas, nii et hetkeks kardeti, et stabiilne münt võib kaotada oma seotuse dollariga.

Kuid siis sekkus USA keskpank otse, et katta kõik puudujäägid, andes seeläbi kõigile Silvergate'i hoiustajatele kõik oma rahalised vahendid tagasi.

Allikas: https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/