Новый крипто-хак на Ethereum и Optimism

Сегодня был обнаружен новый крипто-взлом: на этот раз был успешно атакован протокол DeFi Arcadia Finance в цепочках Ethereum и Optimism.

PeckShieldAlert опубликовал новость в Твиттере, сообщив, что взлом принес злоумышленникам около 455,000 XNUMX долларов.

Взлом позже подтвердили и сами операторы Arcadia Finance.

Нам известно о потенциальной уязвимости в нашем протоколе.
Мы приостановили действие контрактов и сейчас вместе с экспертами по безопасности расследуем первопричину. Дополнительная информация будет следовать по мере ее поступления.
— Аркадия Финанс (@ArcadiaFi) Июль 10, 2023

Через несколько часов они сообщили, что смогли связаться с хакером и что они работают вместе со своими партнерами по безопасности, правоохранительными органами и сообществом, чтобы решить проблему как можно лучше, пытаясь вернуть средства для пользователи протокола.

Ошибка, которая привела к взлому криптовалюты

Согласно PeckShield, взлом смарт-контракта Arcadia Finance произошел из-за того, что ненадежная проверка ввода использовалась для вывода средств из резервов darcWETH и darcUSDC.

darcWETH и darcUSDC — это два обернутых токена Arcadia Finance, поэтому каждый из них содержит резервы.

Теоретически для каждого токена darcWETH в резерве должен быть токен WETH, а для каждого токена darcUSDC должен быть токен USDC.

Очевидно, в смарт-контракте, управляющем резервами этих двух обернутых токенов, была ошибка, которую злоумышленники смогли использовать.

Кроме того, PeckShield обнаружил отсутствие защиты от повторного входа в этих смарт-контрактах, что позволило мгновенному расчету обойти внутреннюю проверку состояния управляющего резервами.

Кроме того, отсутствует защита от повторного входа, что позволяет мгновенной ликвидации обойти внутреннюю проверку работоспособности хранилища. pic.twitter.com/Am58ZOvgQJ
- PeckShield Inc. (@peckshield) Июль 10, 2023

Справедливости ради, Аркадия позже опровергла эту реконструкцию, но не смогла дать альтернативного объяснения.

Большая часть средств была украдена из цепочки Optimism, а затем они были перемещены благодаря Tornado Cash, чтобы потерять их из виду.

Протокол Arcadia Finance

Arcadia Finance — это протокол DeFi на Ethereum и Optimism, который не имеет собственного собственного токена.

До взлома его TVL составлял около 600,000 145,000 долларов, а после кражи упал до XNUMX XNUMX долларов.

Это некастодиальный протокол, который позволяет создавать кросс-маржинальные учетные записи в сети.

Пользователи этих маржинальных счетов могут обеспечивать целые кошельки, получать доступ к капиталу, в 10 раз превышающему их первоначальную залоговую стоимость, и использовать внесенный залог и заемный капитал для взаимодействия с любым другим протоколом DeFi без разрешения.

Кредиторы обеспечивают ликвидность кредитных пулов Arcadia, получая пассивный доход.

Хакеры не могли похитить средства напрямую из кошельков пользователей, а из тех, которые использовались в качестве резервов для выпуска обернутых токенов darcWETH и darcUSDC.

Таким образом, ни darcWETH, ни darcUSDC не были украдены непосредственно из кошельков пользователей, но WETH и USDC были украдены из кошельков, на которых хранились резервы. Это означает, что больше нет 1 WETH на каждый выпущенный darcWETH и 1 USDC на каждый выпущенный darcUSDC, поэтому фактически пользователи по-прежнему имеют все свои обернутые токены, но больше не могут их выкупить.

Проблема с обернутыми токенами

Часто говорят, что некастодиальные кошельки безопасны, если их правильно хранить и обслуживать, но иногда риски лежат выше по течению.

Действительно, для любого кошелька, не связанного с хранением, нет большой разницы в хранении оригинальных токенов, таких как USDC, или обернутых токенов, таких как darcUSDC.

Однако завернутые токены имеют дополнительный уровень риска. На самом деле хранение залога осуществляется не самими пользователями на их некастодиальных кошельках, а менеджерами обернутых токенов.

По сути, это мало чем отличается от кастодиального кошелька, поскольку хранение залога в некотором роде эквивалентно хранению обернутых токенов.

Поэтому, даже если кошельки пользователей, владеющих обернутыми токенами, не взломаны, в случае взлома резервных кошельков пользователи все равно могут потерять свои средства просто потому, что, пока у них все еще есть обернутые токены, они больше не могут их выкупить. Таким образом, их реальная стоимость фактически стремится к нулю.

Это на самом деле относится и к USDC, потому что, хотя это не обернутый токен, это обеспеченная стабильная монета, что означает, что у нее есть резервы в качестве обеспечения, которые хранятся и управляются одним лицом (Circle).

Влияние произошедшего взлома на крипторынки

Влияние этого взлома на крипторынки было практически нулевым, если исключить обернутые токены darcWETH и darcUSDC.

OP, родной токен Optimism, также не понес серьезных потерь, настолько, что его цена сегодня двигалась в соответствии с ценами многих других подобных токенов.

Опять же, 455,000 XNUMX долларов — это не так уж и много, и к настоящему времени на крипторынках выработалась привычка к такому воровству на протоколах DeFi.

Более того, DeFi — это не биткойн, и сейчас именно биткойн диктует тренд на крипторынках.

Подобные ситуации служат только для лучшего понимания рисков, связанных с использованием протоколов DeFi, особенно когда они скрыты, как в случае обернутых токенов.

В марте произошло нечто гораздо худшее, когда было обнаружено, что Circle держит значительную часть резервов USDC в обанкротившемся банке Silvergate, настолько, что на мгновение возникло опасение, что стейблкоин может потерять свою привязку к доллару.

Но затем центральный банк США вмешался напрямую, чтобы покрыть все недостающие средства, тем самым вернув всем вкладчикам Silvergate все их средства.

Источник: https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/