Šiandien buvo aptiktas naujas kriptovaliutų įsilaužimas: šį kartą buvo sėkmingai užpultas DeFi Arcadia Finance protokolas Ethereum ir Optimism grandinėse.
„PeckShieldAlert“ paskelbė naujienas socialiniame tinkle „Twitter“ ir pranešė, kad įsilaužimas užpuolikams uždirbo apie 455,000 XNUMX USD.
Įsilaužimą vėliau patvirtino ir patys „Arcadia Finance“ operatoriai.
Po kelių valandų jie pranešė, kad jiems pavyko susisiekti su įsilaužėliu ir bendradarbiauja su savo saugumo partneriais, teisėsauga ir bendruomene, kad kuo geriau išspręstų problemą, kad atgautų lėšas protokolo vartotojai.
Klaida, dėl kurios buvo įsilaužta į kriptovaliutą
„PeckShield“ teigimu, „Arcadia Finance“ sumanioji sutartis buvo įsilaužta dėl to, kad buvo panaudotas nepatikimas įvesties patvirtinimas, siekiant nusausinti lėšas iš darcWETH ir darcUSDC rezervų.
darcWETH ir darcUSDC yra du supakuoti Arcadia Finance žetonai, todėl kiekvienas turi atsargų.
Teoriškai kiekvienam darcWETH žetonui rezervuose turėtų būti WETH žetonas, o kiekvienam darcUSDC žetonui turėtų būti USDC žetonas.
Akivaizdu, kad sumanioji sutartis, valdanti šių dviejų supakuotų žetonų atsargas, turėjo klaidą, kurią užpuolikai galėjo išnaudoti.
Be to, „PeckShield“ aptiko, kad šiose išmaniosiose sutartyse trūksta apsaugos nuo pakartotinio įėjimo, o tai leido momentiniam atsiskaitymui apeiti rezervų valdytojo vidinį patikrinimą.
Tiesą sakant, Arcadia vėliau paneigė šią rekonstrukciją, tačiau negalėjo pateikti alternatyvaus paaiškinimo.
Didžioji dalis lėšų buvo pavogta iš „Optimizmo“ grandinės, o vėliau „Tornado Cash“ dėka jos buvo perkeltos, kad nebūtų galima jų sekti.
„Arcadia Finance“ protokolas
„Arcadia Finance“ yra „Ethereum“ ir „Optimism“ DeFi protokolas, neturintis savo įprasto prieigos rakto.
Prieš įsilaužimą jo TVL buvo apie 600,000 145,000 USD, o po vagystės jis sumažėjo iki XNUMX XNUMX USD.
Tai su laisvės atėmimu nesusijęs protokolas, leidžiantis sudaryti grandinės kryžminės maržos sąskaitas.
Šių maržos sąskaitų naudotojai gali įkeisti visas pinigines, gauti iki 10 kartų daugiau kapitalo nei pradinė užstato vertė, o deponuotą užstatą ir skolintą kapitalą neleistinai sąveikauti su bet kuriuo kitu DeFi protokolu.
Skolintojai suteikia likvidumo Arcadia paskolų fondams, uždirbdami pasyvią grąžą.
Kadangi įsilaužėliai nebuvo sulaikyti, jie negalėjo pavogti lėšų tiesiai iš vartotojų piniginių, o iš tų, kurie buvo naudojami kaip rezervai supakuotiems žetonams darcWETH ir darcUSDC išleisti.
Taigi, jokie darcWETH ar darcUSDC nebuvo pavogti tiesiai iš vartotojų piniginių, tačiau WETH ir USDC buvo pavogti iš piniginių, kuriuose buvo laikomi rezervai. Tai reiškia, kad nebėra 1 WETH už kiekvieną išduotą darcWETH ir 1 USDC už kiekvieną išduotą darcUSDC, todėl vartotojai vis dar turi visus supakuotus žetonus, bet nebegali jų išpirkti.
Suvyniotų žetonų problema
Dažnai sakoma, kad nelaisvės piniginės yra saugios, jei jos tinkamai laikomos ir prižiūrimos, tačiau kartais rizika slypi prieš srovę.
Iš tiesų, bet kokioje piniginėje, kuriai netaikoma laisvės atėmimo bausmė, originalių žetonų, pvz., USDC, arba supakuotų žetonų, pvz., darcUSDC, saugojimas mažai skiriasi.
Tačiau suvynioti žetonai turi papildomą rizikos sluoksnį. Tiesą sakant, užstatą saugo ne patys naudotojai savo piniginėse, kurioms netaikoma, o suvyniotų žetonų valdytojai.
Tiesą sakant, tai mažai kuo skiriasi nuo saugojimo piniginės, nes užstato saugojimas tam tikra prasme prilygsta suvyniotų žetonų saugojimui.
Todėl net jei vartotojų, turinčių suvyniotus žetonus, piniginės nepažeidžiamos, atsarginių piniginių pažeidimo atveju vartotojai vis tiek gali prarasti savo lėšas vien dėl to, kad kol dar turi įvyniotus žetonus, jie nebegali jų išpirkti. Jų tikroji vertė tokiu būdu iš esmės pasiekia nulį.
Tai iš tikrųjų taip pat taikoma USDC, nes nors tai nėra supakuotas žetonas, tai yra stabili moneta su užstatu, o tai reiškia, kad ji turi rezervų kaip užstatą, kurį laiko ir valdo vienas subjektas (Circle).
Įvykusio įsilaužimo poveikis kriptovaliutų rinkoms
Šio įsilaužimo poveikis kriptovaliutų rinkoms buvo beveik nulinis, jei neįtrauksime įvyniotų žetonų darcWETH ir darcUSDC.
OP, kuris yra pradinis Optimizmo žetonas, taip pat nepatyrė rimtų nuostolių, todėl jo kaina šiandien pasikeitė kaip daugelio kitų panašių žetonų kaina.
Ir vėlgi, 455,000 XNUMX USD nėra tiek daug, ir iki šiol kriptovaliutų rinkos susiformavo įprotį tokias DeFi protokolų vagystes.
Be to, DeFi nėra susijęs su Bitcoin, o šiuo metu būtent Bitcoin diktuoja tendencijas kriptovaliutų rinkose.
Tokios situacijos kaip ši padeda geriau suprasti riziką, susijusią su DeFi protokolų naudojimu, ypač kai jie yra paslėpti, pavyzdžiui, suvyniotų žetonų atveju.
Kai kas daug blogiau atsitiko kovo mėn., kai buvo sužinota, kad Circle turėjo didelę USDC atsargų dalį žlugusiame Silvergate banke, tiek, kad akimirką buvo baiminamasi, kad stabili moneta gali prarasti susiejimą su doleriu.
Tačiau tada JAV centrinis bankas įsikišo tiesiogiai, kad padengtų visus trūkumus, taip grąžindamas visiems Silvergate indėlininkams visas savo lėšas.
Šaltinis: https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/