Danas je otkriven novi kripto hak: ovaj put protokol DeFi Arcadia Finance na lancima Ethereum i Optimism uspješno je napadnut.
PeckShieldAlert objavio je vijest na Twitteru, izvijestivši da je hakiranje donijelo napadačima oko 455,000 dolara.
Hakiranje su kasnije potvrdili i sami operateri Arcadia Finance.
Nakon nekoliko sati izvijestili su da su uspjeli stupiti u kontakt s hakerom i da rade zajedno sa svojim sigurnosnim partnerima, policijom i zajednicom kako bi riješili problem najbolje što mogu u pokušaju povrata sredstava za korisnici protokola.
Bug koji je doveo do kripto haka
Prema PeckShieldu, do hakiranja pametnog ugovora Arcadia Finance došlo je zbog iskorištavanja nepouzdane provjere unosa za odvođenje sredstava iz rezervi darcWETH i darcUSDC.
darcWETH i darcUSDC dva su zamotana Arcadia Finance tokena, tako da svaki od njih ima rezerve.
Teoretski, za svaki darcWETH token trebao bi postojati WETH token u rezervi, a za svaki darcUSDC token trebao bi postojati USDC token.
Očito je da je pametni ugovor koji upravlja rezervama ova dva zamotana tokena imao grešku koju su napadači mogli iskoristiti.
Nadalje, PeckShield je otkrio nedostatak zaštite od ponovnog ulaska u te pametne ugovore, što je na taj način omogućilo da trenutna nagodba zaobiđe internu provjeru stanja upravitelja rezervama.
Da budemo pošteni, Arcadia je kasnije opovrgla ovu rekonstrukciju, ali nije mogla dati alternativno objašnjenje.
Većina sredstava ukradena je iz lanca Optimizma, a zatim su premještena zahvaljujući Tornado Cashu kako bi im se izgubio trag.
Protokol Arcadia Finance
Arcadia Finance je DeFi protokol na Ethereumu i Optimizmu koji nema vlastiti izvorni token.
Prije hakiranja njegov TVL iznosio je oko 600,000 dolara, dok je nakon krađe pao na 145,000 dolara.
Ovo je protokol bez skrbništva koji omogućuje sastavljanje računa s unakrsnom marginom u lancu.
Korisnici ovih margin računa mogu kolateralizirati cijele novčanike, pristupiti do 10 puta većem kapitalu od njihove početne vrijednosti kolaterala i koristiti položeni kolateral i posuđeni kapital za interakciju s bilo kojim drugim DeFi protokolom na način bez dopuštenja.
Zajmodavci osiguravaju likvidnost zajmova Arcadije, zarađujući pasivne povrate.
Budući da nisu skrbnici, hakeri nisu mogli ukrasti sredstva izravno iz korisničkih novčanika, već iz onih koji su korišteni kao rezerve za izdavanje omotanih tokena darcWETH i darcUSDC.
Dakle, darcWETH ili darcUSDC nisu ukradeni izravno iz korisničkih novčanika, ali su WETH i USDC ukradeni iz novčanika na kojima su bile rezerve. To znači da više ne postoji 1 WETH za svaki izdani darcWETH i 1 USDC za svaki izdani darcUSDC, tako da efektivno korisnici još uvijek imaju sve svoje zamotane tokene, ali ih više ne mogu iskoristiti.
Problem s zamotanim tokenima
Često se kaže da su novčanici bez skrbništva sigurni ako se pravilno pohranjuju i održavaju, ali ponekad rizici leže uzvodno.
Doista, za bilo koji novčanik bez skrbništva postoji mala razlika u pohranjivanju originalnih tokena, kao što je USDC, ili zamotanih tokena, kao što je darcUSDC.
Međutim, zamotani tokeni imaju dodatni sloj rizika. Zapravo, skrbništvo nad kolateralom ne obavljaju sami korisnici na svojim novčanicima koji nisu skrbnički, već upravitelji zamotanih tokena.
Zapravo, ovo se ne razlikuje mnogo od skrbničkog novčanika, budući da je skrbništvo nad kolateralom na neki način jednako skrbništvu nad zamotanim tokenima.
Stoga, čak i ako novčanici korisnika koji drže zamotane tokene nisu probijeni, u slučaju proboja rezervnih novčanika, korisnici još uvijek mogu izgubiti svoja sredstva, jednostavno zato što dok još imaju zamotane tokene više ih ne mogu iskoristiti. Njihova stvarna vrijednost na ovaj način zapravo ide na nulu.
To se zapravo odnosi i na USDC, jer iako nije omotani token, on je kolateralizirani stablecoin, što znači da ima rezerve kao kolateral, koje drži i njima upravlja jedan entitet (Circle).
Utjecaj hakiranja na kripto tržišta
Utjecaj ovog hakiranja na kripto tržišta bio je gotovo nula, ako izuzmemo zamotane tokene darcWETH i darcUSDC.
OP, koji je Optimismov izvorni token, također nije pretrpio ozbiljne gubitke, toliko da se njegova današnja cijena kretala u skladu s onima mnogih drugih sličnih tokena.
S druge strane, 455,000 dolara nije toliko, a do sada su kripto tržišta razvila naviku ove vrste krađe na DeFi protokolima.
Štoviše, DeFi se ne odnosi na Bitcoin, a trenutno je Bitcoin taj koji diktira trend na kripto tržištima.
Situacije poput ove služe samo za bolje razumijevanje rizika koji su uključeni pri korištenju DeFi protokola, posebno kada su skriveni kao u slučaju zamotanih tokena.
Nešto mnogo gore dogodilo se u ožujku, kada je otkriveno da Circle drži značajan dio USDC rezervi u propaloj banci Silvergate, toliko da se na trenutak strahovalo da bi stablecoin mogao izgubiti vezu s dolarom.
Ali tada je američka središnja banka izravno intervenirala kako bi pokrila sve nedostatke, čime je svim štedišama Silvergatea vraćena sva njihova sredstva.
Izvor: https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/