Dnes byl objeven nový kryptohack: tentokrát byl úspěšně napaden protokol DeFi Arcadia Finance na řetězcích Ethereum a Optimism.
PeckShieldAlert přinesl zprávu na Twitteru a oznámil, že hack vynesl útočníkům asi 455,000 XNUMX dolarů.
Hack později potvrdili i samotní provozovatelé Arcadia Finance.
Po několika hodinách oznámili, že se jim podařilo navázat kontakt s hackerem a že spolupracují se svými bezpečnostními partnery, orgány činnými v trestním řízení a komunitou, aby problém co nejlépe vyřešili ve snaze získat zpět finanční prostředky. uživatelé protokolu.
Chyba, která vedla k hacknutí kryptoměn
Podle PeckShield bylo hacknutí chytré smlouvy Arcadia Finance způsobeno zneužitím nedůvěryhodného ověřování vstupu k vyčerpání finančních prostředků z rezerv darcWETH a darcUSDC.
darcWETH a darcUSDC jsou dva zabalené tokeny Arcadia Finance, takže každý z nich drží rezervy.
Teoreticky by pro každý token darcWETH měl být v rezervách token WETH a pro každý token darcUSDC by měl být token USDC.
Chytrá smlouva, která spravuje rezervy těchto dvou zabalených tokenů, měla evidentně chybu, kterou útočníci dokázali zneužít.
Kromě toho PeckShield objevil v těchto chytrých kontraktech nedostatek ochrany proti opětovnému vstupu, což umožnilo okamžitému vypořádání obejít vnitřní kontrolu stavu správce rezerv.
Abychom byli spravedliví, Arcadia později tuto rekonstrukci vyvrátila, ale nebyla schopna poskytnout alternativní vysvětlení.
Většina finančních prostředků byla ukradena z řetězce Optimism a poté byly přesunuty díky Tornado Cash, aby o nich ztratily přehled.
Protokol Arcadia Finance
Arcadia Finance je protokol DeFi pro Ethereum a Optimism, který nemá svůj vlastní nativní token.
Před hackem byla jeho TVL asi 600,000 145,000 $, zatímco po krádeži klesla na XNUMX XNUMX $.
Jedná se o necustodial protokol, který umožňuje sestavení křížových maržových účtů v řetězci.
Uživatelé těchto maržových účtů mohou zajistit celé peněženky, získat přístup až k 10krát většímu kapitálu, než je jejich počáteční hodnota kolaterálu, a použít uložený kolaterál a vypůjčený kapitál k interakci s jakýmkoli jiným protokolem DeFi bez povolení.
Věřitelé poskytují likviditu úvěrovým fondům Arcadie a získávají pasivní výnosy.
Vzhledem k tomu, že hackeři nebyli ve vazbě, nebyli schopni ukrást finanční prostředky přímo z peněženek uživatelů, ale spíše z peněženek používaných jako rezervy pro vydávání zabalených tokenů darcWETH a darcUSDC.
Žádné darcWETH nebo darcUSDC tedy nebyly ukradeny přímo z peněženek uživatelů, ale WETH a USDC byly ukradeny z peněženek, na kterých byly drženy rezervy. To znamená, že již neexistuje 1 WETH za každý vydaný darcWETH a 1 USDC za každý vydaný darcUSDC, takže uživatelé mají stále všechny své zabalené tokeny, ale již je nemohou uplatnit.
Problém se zabalenými tokeny
Často se říká, že nevěrné peněženky jsou bezpečné, pokud jsou správně skladovány a udržovány, ale někdy se rizika skrývají proti proudu.
V případě jakékoli jiné než úschovné peněženky je malý rozdíl v ukládání originálních tokenů, jako je USDC, nebo zabalených tokenů, jako je darcUSDC.
Zabalené tokeny však mají další vrstvu rizika. Ve skutečnosti úschovu kolaterálu neprovádějí sami uživatelé na svých neopatrovaných peněženkách, ale správci zabalených tokenů.
Ve skutečnosti se to příliš neliší od úschovy, protože úschova kolaterálu je v některých ohledech ekvivalentní úschově zabalených tokenů.
Proto i když peněženky uživatelů, kteří drží zabalené tokeny, nejsou prolomeny, v případě porušení rezervních peněženek mohou uživatelé stále přijít o své prostředky, jednoduše proto, že zatímco ještě mají zabalené tokeny, již je nemohou proplatit. Jejich skutečná hodnota tímto způsobem efektivně klesne na nulu.
To ve skutečnosti platí i pro USDC, protože i když se nejedná o zabalený token, jedná se o zajištěný stablecoin, což znamená, že má jako kolaterál rezervy, které drží a spravuje jediný subjekt (kruh).
Dopad hacku, ke kterému došlo, na krypto trhy
Dopad tohoto hacku na krypto trhy byl téměř nulový, pokud vyloučíme zabalené tokeny darcWETH a darcUSDC.
OP, což je nativní token Optimismu, také neutrpěl vážné ztráty, a to natolik, že se jeho cena dnes pohybovala v souladu s cenami mnoha jiných podobných tokenů.
Na druhou stranu, 455,000 XNUMX dolarů není zas tak moc a kryptotrhy si již vytvořily zvyk tohoto druhu krádeží na protokolech DeFi.
Navíc DeFi není o bitcoinu a právě teď je to bitcoin, který diktuje trend na krypto trzích.
Situace, jako je tato, slouží pouze k lepšímu pochopení rizik spojených s používáním protokolů DeFi, zejména pokud jsou skryta jako v případě zabalených tokenů.
Něco mnohem horšího se stalo v březnu, kdy se zjistilo, že Circle drží významnou část USDC rezerv na zkrachovalé bance Silvergate, a to natolik, že se na okamžik začalo obávat, že by stablecoin mohl ztratit své navázání na dolar.
Pak ale americká centrální banka přímo zasáhla, aby pokryla všechny nedostatky, a tak vrátila všem vkladatelům Silvergate všechny jejich prostředky.
Zdroj: https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/