Dnes bol objavený nový kryptohack: tentoraz bol úspešne napadnutý protokol DeFi Arcadia Finance na reťazcoch Ethereum a Optimism.
PeckShieldAlert zverejnil správu na Twitteri a oznámil, že hacking priniesol útočníkom približne 455,000 XNUMX dolárov.
Hack neskôr potvrdili aj samotní operátori Arcadia Finance.
Po niekoľkých hodinách oznámili, že sa im podarilo nadviazať kontakt s hackerom a že spolupracujú so svojimi bezpečnostnými partnermi, orgánmi činnými v trestnom konaní a komunitou na vyriešení problému čo najlepšie v snahe získať späť finančné prostriedky užívatelia protokolu.
Chyba, ktorá viedla k hacknutiu kryptomien
Podľa PeckShield bol hack do inteligentnej zmluvy Arcadia Finance spôsobený zneužitím nedôveryhodného overovania vstupu na odčerpanie prostriedkov z rezerv darcWETH a darcUSDC.
darcWETH a darcUSDC sú dva zabalené tokeny Arcadia Finance, takže každý z nich má rezervy.
Teoreticky by pre každý token darcWETH mal byť v rezervách token WETH a pre každý token darcUSDC by mal byť token USDC.
Inteligentná zmluva, ktorá spravuje rezervy týchto dvoch zabalených tokenov, mala evidentne chybu, ktorú útočníci dokázali zneužiť.
Okrem toho PeckShield zistil nedostatok ochrany proti opätovnému vstupu v týchto smart kontraktoch, čo týmto spôsobom umožnilo okamžitému vyrovnaniu obísť internú kontrolu stavu správcu rezerv.
Aby sme boli spravodliví, Arcadia neskôr túto rekonštrukciu vyvrátila, ale nebola schopná poskytnúť alternatívne vysvetlenie.
Väčšina finančných prostriedkov bola ukradnutá z reťazca Optimism a následne boli presunuté vďaka Tornado Cash, aby o nich stratili prehľad.
Protokol Arcadia Finance
Arcadia Finance je protokol DeFi o Ethereu a optimizme, ktorý nemá svoj vlastný natívny token.
Pred hacknutím bola jeho TVL približne 600,000 145,000 dolárov, zatiaľ čo po krádeži klesla na XNUMX XNUMX dolárov.
Toto je neopatrovací protokol, ktorý umožňuje zostavenie krížových maržových účtov v reťazci.
Používatelia týchto maržových účtov môžu zabezpečiť celé peňaženky, získať prístup až k 10-krát väčšiemu kapitálu, než je ich počiatočná hodnota kolaterálu, a použiť uložený kolaterál a vypožičaný kapitál na interakciu s akýmkoľvek iným protokolom DeFi bez povolenia.
Veritelia poskytujú likviditu úverovým fondom Arcadie, čím získavajú pasívne výnosy.
Keďže hackeri neboli väzni, nemohli ukradnúť prostriedky priamo z peňaženiek používateľov, ale skôr z tých, ktoré sa používali ako rezervy na vydávanie zabalených tokenov darcWETH a darcUSDC.
Žiadne darcWETH ani darcUSDC teda neboli ukradnuté priamo z peňaženiek používateľov, ale WETH a USDC boli ukradnuté z peňaženiek, na ktorých boli držané rezervy. To znamená, že už neexistuje 1 WETH za každý vydaný darcWETH a 1 USDC za každý vydaný darcUSDC, takže používatelia majú v skutočnosti stále všetky svoje zabalené tokeny, ale už si ich nemôžu uplatniť.
Problém so zabalenými tokenmi
Často sa hovorí, že peňaženky bez úschovy sú bezpečné, ak sú správne skladované a udržiavané, ale niekedy sa riziká skrývajú skôr.
V prípade akejkoľvek peňaženky, ktorá nie je úschovou, je malý rozdiel v ukladaní originálnych tokenov, ako je USDC, alebo zabalených tokenov, ako je darcUSDC.
Zabalené žetóny však majú ďalšiu vrstvu rizika. V skutočnosti úschovu kolaterálu nevykonávajú samotní používatelia na svojich neopatrovaných peňaženkách, ale správcovia zabalených tokenov.
V skutočnosti sa to príliš nelíši od úschovnej peňaženky, pretože úschova kolaterálu je v niektorých ohľadoch ekvivalentná úschove zabalených tokenov.
Preto aj keď sa neporušia peňaženky používateľov, ktorí majú zabalené tokeny, v prípade porušenia rezervných peňaženiek môžu používatelia stále prísť o svoje prostriedky, jednoducho preto, že kým ešte majú zabalené tokeny, už ich nemôžu uplatniť. Ich skutočná hodnota týmto spôsobom efektívne klesne na nulu.
To v skutočnosti platí aj pre USDC, pretože hoci nejde o zabalený token, ide o kolateralizovaný stablecoin, čo znamená, že má rezervy ako kolaterál, ktorý drží a spravuje jeden subjekt (kruh).
Vplyv hacku, ku ktorému došlo, na krypto trhy
Dopad tohto hacku na krypto trhy bol takmer nulový, ak vylúčime zabalené tokeny darcWETH a darcUSDC.
OP, čo je natívny token Optimizmu, tiež neutrpel vážne straty, a to natoľko, že jeho cena sa dnes pohybovala v súlade s cenami mnohých iných podobných tokenov.
Na druhej strane, 455,000 XNUMX dolárov nie je až tak veľa a krypto trhy si už vyvinuli zvyk tohto druhu krádeží na protokoloch DeFi.
Navyše, DeFi nie je o Bitcoine a práve teraz je to Bitcoin, ktorý diktuje trend na kryptotrhoch.
Situácie, ako je táto, slúžia len na lepšie pochopenie rizík spojených s používaním protokolov DeFi, najmä ak sú skryté, ako v prípade zabalených tokenov.
Oveľa horšie sa stalo v marci, keď sa zistilo, že Circle drží značnú časť USDC rezerv na zlyhanej banke Silvergate, a to natoľko, že sa na chvíľu začalo báť, že by stablecoin mohol stratiť naviazanie na dolár.
Potom však americká centrálna banka priamo zasiahla, aby pokryla všetky nedostatky, čím vrátila všetkým vkladateľom Silvergate všetky svoje prostriedky.
Zdroj: https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/