Nytt kryptohack på Ethereum och Optimism

Ett nytt kryptohack upptäcktes idag: den här gången attackerades DeFi Arcadia Finance-protokollet på Ethereum- och Optimism-kedjorna framgångsrikt.

PeckShieldAlert bröt nyheten på Twitter och rapporterade att hacket gav angriparna cirka 455,000 XNUMX dollar.

Hacket bekräftades också senare av operatörerna för Arcadia Finance själva.

Vi är medvetna om ett potentiellt utnyttjande i vårt protokoll.
Vi har pausat kontrakten och undersöker grundorsaken med säkerhetsexperter medan vi talar. Mer information kommer när den kommer.
— Arcadia Finance (@ArcadiaFi) Juli 10, 2023

Efter några timmar rapporterade de att de kunde få kontakt med hackaren och att de arbetade tillsammans med sina säkerhetspartners, brottsbekämpande myndigheter och samhället för att lösa problemet så gott de kunde i ett försök att få tillbaka pengar för protokollanvändare.

Buggan som ledde till kryptohacket

Enligt PeckShield berodde hacket på Arcadia Finances smarta kontrakt på att opålitlig indatavalidering utnyttjades för att tappa pengar från darcWETH- och darcUSDC-reserver.

darcWETH och darcUSDC är två inslagna Arcadia Finance-tokens, så var och en har reserver.

Teoretiskt för varje darcWETH-token bör det finnas en WETH-token i reserverna, och för varje darcUSDC-token bör det finnas en USDC-token.

Uppenbarligen hade det smarta kontraktet som hanterar reserverna för dessa två inslagna tokens en bugg som angripare kunde utnyttja.

Vidare upptäckte PeckShield en brist på återinträdesskydd i dessa smarta kontrakt, vilket på detta sätt gjorde det möjligt för den omedelbara avvecklingen att kringgå reservförvaltarens interna tillståndskontroll.

Dessutom saknas skydd för återinträde, vilket gör att den omedelbara likvidationen kan kringgå hälsokontrollen av det interna valvet. pic.twitter.com/Am58ZOvgQJ
- PeckShield Inc. (@peckshield) Juli 10, 2023

För att vara rättvis, tillbakavisade Arcadia senare denna rekonstruktion, men kunde inte ge en alternativ förklaring.

De flesta av medlen stals från Optimisms kedja och de flyttades sedan tack vare Tornado Cash för att tappa reda på dem.

Arcadia Finance-protokollet

Arcadia Finance är ett DeFi-protokoll för Ethereum och Optimism som inte har sin egen infödda token.

Innan hacket var dess TVL cirka 600,000 145,000 $, medan det efter stölden sjönk till XNUMX XNUMX $.

Detta är ett icke-förvaringsprotokoll som tillåter sammansättningen av konton med tvärmarginaler i kedjan.

Användare av dessa marginalkonton kan ställa säkerheter för hela plånböcker, få tillgång till upp till 10 gånger mer kapital än deras ursprungliga säkerhetsvärde och använda de insatta säkerheterna och det lånade kapitalet för att interagera med något annat DeFi-protokoll på ett tillåtslöst sätt.

Långivare tillhandahåller likviditet till Arcadias lånepooler och ger passiv avkastning.

Eftersom hackarna inte var frihetsberövade kunde de inte stjäla pengar direkt från användarnas plånböcker, utan snarare från de som användes som reserver för att utfärda de inslagna tokens darcWETH och darcUSDC.

Således stals inga darcWETH eller darcUSDC direkt från användarnas plånböcker, utan WETH och USDC stals från plånböckerna som reserverna hölls på. Detta innebär att det inte längre finns 1 WETH för varje utfärdat darcWETH och 1 USDC för varje utfärdat darcUSDC, så effektivt användare har fortfarande alla sina inslagna tokens men kan inte längre lösa in dem.

Problemet med inslagna tokens

Det sägs ofta att icke-förvarande plånböcker är säkra, om de förvaras och underhålls på rätt sätt, men ibland ligger riskerna uppströms.

Faktum är att för alla plånböcker utan förvaring är det liten skillnad i lagring av originalpoletter, såsom USDC, eller inslagna tokens, såsom darcUSDC.

Emellertid har inslagna tokens ett extra lager av risk. Faktum är att förvaringen av säkerheterna inte görs av användarna själva på sina plånböcker utan förvaring, utan av förvaltarna av de inslagna tokens.

Faktum är att detta inte skiljer sig mycket från en förvaringsplånbok, eftersom förvaringen av säkerheten på något sätt är likvärdig med förvaringen av de inslagna polletterna.

Därför även om plånböckerna för användare som har inslagna tokens inte bryter mot, i händelse av ett brott mot reservplånböckerna, kan användare fortfarande förlora sina pengar, helt enkelt för att medan de fortfarande har de inslagna tokens kan de inte längre lösa in dem. Deras faktiska värde går på detta sätt effektivt till noll.

Detta gäller faktiskt också för USDC, för även om det inte är ett inslaget token är det ett stabilt mynt med säkerhet, vilket betyder att det har reserver som säkerhet, som innehas och förvaltas av en enda enhet (Circle).

Inverkan på kryptomarknaderna av hacket som inträffade

Effekten på kryptomarknaderna av detta hack har varit nästan noll, om vi exkluderar de inslagna tokens darcWETH och darcUSDC.

OP, som är Optimisms infödda token, har inte heller lidit några allvarliga förluster, så mycket att dess pris idag rörde sig i linje med priset på många andra liknande tokens.

Återigen, $455,000 XNUMX är inte så mycket, och vid det här laget har kryptomarknaderna utvecklat en vana av denna typ av stöld på DeFi-protokoll.

Dessutom handlar DeFi inte om Bitcoin, och just nu är det Bitcoin som dikterar trenden på kryptomarknaderna.

Situationer som denna tjänar bara till att ge en bättre förståelse för riskerna vid användning av DeFi-protokoll, särskilt när de är dolda som i fallet med inslagna tokens.

Något mycket värre hade hänt i mars, när det upptäcktes att Circle hade en betydande del av USDC-reserverna på den misslyckade Silvergate-banken, så mycket att man för ett ögonblick befarade att stablecoin skulle förlora sin koppling till dollarn.

Men sedan ingrep den amerikanska centralbanken direkt för att täcka alla underskott och gav därigenom alla Silvergate-insättare tillbaka alla sina medel.

Källa: https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/