Šodien tika atklāts jauns kriptovalūtu uzlauzums: šoreiz veiksmīgi tika uzbrukts DeFi Arcadia Finance protokolam Ethereum un Optimism ķēdēs.
PeckShieldAlert atklāja ziņas Twitter, ziņojot, ka uzlaušana uzbrucējiem ienesusi aptuveni 455,000 XNUMX USD.
Uzlaušanu vēlāk apstiprināja arī paši Arcadia Finance operatori.
Pēc dažām stundām viņi ziņoja, ka ir spējuši sazināties ar hakeri un ka viņi strādā kopā ar saviem drošības partneriem, tiesībaizsardzības iestādēm un kopienu, lai pēc iespējas labāk atrisinātu problēmu, cenšoties atgūt līdzekļus protokola lietotājiem.
Kļūda, kas noveda pie kriptovalūtu uzlaušanas
Saskaņā ar PeckShield teikto, Arcadia Finance viedā līguma uzlaušana bija saistīta ar neuzticamu ievades validāciju, kas tika izmantota, lai iztukšotu līdzekļus no darcWETH un darcUSDC rezervēm.
darcWETH un darcUSDC ir divi iesaiņoti Arcadia Finance marķieri, tāpēc katrā no tiem ir rezerves.
Teorētiski katram darcWETH marķierim rezervēs ir jābūt WETH marķierim, un katram darcUSDC marķiram jābūt USDC marķierim.
Acīmredzot viedajam līgumam, kas pārvalda šo divu iesaiņoto žetonu rezerves, bija kļūda, kuru uzbrucēji varēja izmantot.
Turklāt PeckShield atklāja, ka šajos viedajos līgumos trūkst atkārtotas ienākšanas aizsardzības, kas šādā veidā ļāva tūlītējam norēķinam apiet rezervju pārvaldnieka iekšējo stāvokļa pārbaudi.
Taisnības labad jāsaka, ka Arkādija vēlāk atspēkoja šo rekonstrukciju, taču nespēja sniegt alternatīvu skaidrojumu.
Lielākā daļa līdzekļu tika nozagti no Optimisma ķēdes, un pēc tam tie tika pārvietoti, pateicoties Tornado Cash, lai zaudētu tiem pēdas.
Arcadia Finance protokols
Arcadia Finance ir DeFi protokols Ethereum un Optimism, kam nav sava sākotnējā marķiera.
Pirms uzlaušanas tā TVL bija aptuveni 600,000 145,000 USD, savukārt pēc zādzības tas noslīdēja līdz XNUMX XNUMX USD.
Šis ir ar brīvības atņemšanu nesaistīts protokols, kas ļauj izveidot ķēdē esošos savstarpējās peļņas kontus.
Šo maržinālo kontu lietotāji var nodrošināt visu maku, piekļūt līdz pat 10 reizēm lielākam kapitālam nekā sākotnējā nodrošinājuma vērtība, kā arī izmantot noguldīto nodrošinājumu un aizņemto kapitālu, lai neatļautā veidā mijiedarbotos ar jebkuru citu DeFi protokolu.
Aizdevēji nodrošina Arcadia aizdevumu fondu likviditāti, gūstot pasīvu peļņu.
Tā kā hakeri nebija apcietinājumā, viņi nevarēja nozagt līdzekļus tieši no lietotāju makiem, bet gan no tiem, kas tika izmantoti kā rezerves iesaiņoto žetonu darcWETH un darcUSDC izdošanai.
Tādējādi neviens darcWETH vai darcUSDC netika nozagts tieši no lietotāju makiem, bet WETH un USDC tika nozagti no makiem, kuros tika glabātas rezerves. Tas nozīmē, ka vairs nav 1 WETH par katru izdoto darcWETH un 1 USDC par katru izsniegto darcUSDC, tāpēc faktiski lietotājiem joprojām ir visi iesaiņotie marķieri, taču viņi vairs nevar tos izpirkt.
Problēma ar iesaiņotiem žetoniem
Bieži tiek teikts, ka maki, kas nav saistīti ar brīvības atņemšanu, ir droši, ja tos pareizi uzglabā un uztur, taču dažreiz riski slēpjas augšpus.
Patiešām, jebkuram ar brīvības atņemšanu nesaistītam makam ir neliela atšķirība oriģinālo marķieru, piemēram, USDC, vai iesaiņotu marķieru, piemēram, darcUSDC, glabāšanā.
Tomēr iesaiņotiem žetoniem ir papildu riska pakāpe. Faktiski ķīlas glabāšanu neveic paši lietotāji uz saviem ar ķīlu nesaistītajiem makiem, bet gan iesaiņoto žetonu pārvaldnieki.
Faktiski tas īpaši neatšķiras no apcietinājuma maka, jo ķīlas glabāšana savā ziņā ir līdzvērtīga iesaiņoto žetonu glabāšanai.
Tāpēc pat tad, ja to lietotāju maki, kuriem ir iesaiņoti žetoni, netiek pārkāpti, rezerves maku pārkāpuma gadījumā lietotāji joprojām var zaudēt savus līdzekļus, jo, kamēr viņiem joprojām ir iesaiņotie žetoni, viņi tos vairs nevar izpirkt. To faktiskā vērtība šādā veidā faktiski sasniedz nulli.
Tas faktiski attiecas arī uz USDC, jo, lai gan tas nav iesaiņots marķieris, tā ir nodrošināta stabila monēta, kas nozīmē, ka tai ir rezerves kā nodrošinājums, ko glabā un pārvalda viena vienība (Circle).
Notikušā uzlaušanas ietekme uz kriptovalūtu tirgiem
Šī uzlaušanas ietekme uz kriptovalūtu tirgiem ir bijusi gandrīz nulle, ja izslēdzam iesaiņotos marķierus darcWETH un darcUSDC.
OP, kas ir Optimisma vietējais marķieris, arī nav cietis nopietnus zaudējumus, tiktāl, ka tā cena šodien mainījās saskaņā ar daudzu citu līdzīgu žetonu cenām.
Turklāt 455,000 XNUMX USD nav tik daudz, un līdz šim kriptovalūtu tirgi ir izveidojuši ieradumu šāda veida zādzībām DeFi protokolos.
Turklāt DeFi nav par Bitcoin, un šobrīd tieši Bitcoin nosaka tendences kriptovalūtu tirgos.
Tādas situācijas kā šī tikai palīdz labāk izprast riskus, kas saistīti ar DeFi protokolu lietošanu, it īpaši, ja tie ir paslēpti, piemēram, iesaiņotu žetonu gadījumā.
Kaut kas daudz sliktāks bija noticis martā, kad tika atklāts, ka Circle glabā ievērojamu daļu USDC rezervju bankrotētajā Silvergeitas bankā, tik ļoti, ka uz brīdi radās bažas, ka stabilā monēta varētu zaudēt piesaisti dolāram.
Bet tad ASV centrālā banka iejaucās tieši, lai segtu visus iztrūkumus, tādējādi visiem Silvergate noguldītājiem atdodot visus savus līdzekļus.
Avots: https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/