Ένα νέο hack κρυπτογράφησης ανακαλύφθηκε σήμερα: αυτή τη φορά το πρωτόκολλο DeFi Arcadia Finance στις αλυσίδες Ethereum και Optimism δέχτηκε επιτυχή επίθεση.
Το PeckShieldAlert έκανε την είδηση στο Twitter, αναφέροντας ότι η πειρατεία κόστισε τους εισβολείς περίπου 455,000 δολάρια.
Το χακάρισμα επιβεβαιώθηκε αργότερα και από τους ίδιους τους χειριστές της Arcadia Finance.
Μετά από λίγες ώρες, ανέφεραν ότι κατάφεραν να έρθουν σε επαφή με τον χάκερ και ότι εργάζονταν μαζί με τους συνεργάτες ασφαλείας τους, τις αρχές επιβολής του νόμου και την κοινότητα για να λύσουν το πρόβλημα όσο καλύτερα μπορούσαν σε μια προσπάθεια να ανακτήσουν χρήματα για χρήστες πρωτοκόλλου.
Το σφάλμα που οδήγησε στην παραβίαση κρυπτογράφησης
Σύμφωνα με το PeckShield, η παραβίαση του έξυπνου συμβολαίου της Arcadia Finance οφειλόταν σε μη αξιόπιστη επικύρωση εισροών που χρησιμοποιήθηκε για την αποστράγγιση κεφαλαίων από τα αποθεματικά darcWETH και darcUSDC.
Το darcWETH και το darcUSDC είναι δύο τυλιγμένα κουπόνια Arcadia Finance, επομένως το καθένα κρατά αποθεματικά.
Θεωρητικά για κάθε διακριτικό darcWETH θα πρέπει να υπάρχει ένα διακριτικό WETH στα αποθεματικά και για κάθε διακριτικό darcUSDC θα πρέπει να υπάρχει ένα διακριτικό USDC.
Προφανώς το έξυπνο συμβόλαιο που διαχειρίζεται τα αποθέματα αυτών των δύο τυλιγμένων κουπονιών είχε ένα σφάλμα που οι επιτιθέμενοι μπορούσαν να εκμεταλλευτούν.
Επιπλέον, η PeckShield ανακάλυψε έλλειψη προστασίας επανεισόδου σε αυτά τα έξυπνα συμβόλαια, γεγονός που επέτρεψε με αυτόν τον τρόπο στον άμεσο διακανονισμό να παρακάμψει τον εσωτερικό έλεγχο κατάστασης του διαχειριστή αποθεμάτων.
Για να είμαστε δίκαιοι, η Αρκαδία αργότερα διέψευσε αυτή την ανακατασκευή, αλλά δεν μπόρεσε να δώσει μια εναλλακτική εξήγηση.
Τα περισσότερα από τα χρήματα κλάπηκαν από την αλυσίδα του Optimism και στη συνέχεια μεταφέρθηκαν χάρη στο Tornado Cash για να χάσουν τα ίχνη τους.
Το πρωτόκολλο Arcadia Finance
Το Arcadia Finance είναι ένα πρωτόκολλο DeFi για το Ethereum και το Optimism που δεν έχει το δικό του εγγενές διακριτικό.
Πριν από το χακάρισμα, το TVL του ήταν περίπου 600,000 δολάρια, ενώ μετά την κλοπή έπεσε στα 145,000 δολάρια.
Αυτό είναι ένα πρωτόκολλο μη θεματοφυλακής που επιτρέπει τη σύνθεση λογαριασμών διασταυρούμενων περιθωρίων εντός της αλυσίδας.
Οι χρήστες αυτών των λογαριασμών περιθωρίου μπορούν να εξασφαλίσουν ολόκληρα πορτοφόλια, να αποκτήσουν πρόσβαση έως και 10 φορές περισσότερο κεφάλαιο από την αρχική αξία εξασφάλισης και να χρησιμοποιήσουν την κατατεθειμένη ασφάλεια και το δανεισμένο κεφάλαιο για να αλληλεπιδράσουν με οποιοδήποτε άλλο πρωτόκολλο DeFi χωρίς άδεια.
Οι δανειστές παρέχουν ρευστότητα στις ομάδες δανείων της Αρκαδίας, κερδίζοντας παθητικές αποδόσεις.
Δεδομένου ότι δεν ήταν υπό κράτηση, οι χάκερ δεν μπόρεσαν να κλέψουν χρήματα απευθείας από τα πορτοφόλια των χρηστών, αλλά μάλλον από αυτά που χρησιμοποιήθηκαν ως αποθεματικά για την έκδοση των περιτυλιγμένων κουπονιών darcWETH και darcUSDC.
Έτσι, κανένα darcWETH ή darcUSDC δεν κλάπηκε απευθείας από τα πορτοφόλια των χρηστών, αλλά το WETH και το USDC κλάπηκαν από τα πορτοφόλια στα οποία διατηρήθηκαν τα αποθεματικά. Αυτό σημαίνει ότι δεν υπάρχει πλέον 1 WETH για κάθε darcWETH που εκδίδεται και 1 USDC για κάθε darcUSDC που εκδίδεται, επομένως ουσιαστικά οι χρήστες εξακολουθούν να έχουν όλα τα τυλιγμένα διακριτικά τους αλλά δεν μπορούν πλέον να τα εξαργυρώσουν.
Το πρόβλημα με τα τυλιγμένα κουπόνια
Λέγεται συχνά ότι τα πορτοφόλια που δεν φυλάσσονται είναι ασφαλή, εάν αποθηκεύονται και συντηρούνται σωστά, αλλά μερικές φορές οι κίνδυνοι βρίσκονται στην αντίθετη κατεύθυνση.
Πράγματι, για οποιοδήποτε πορτοφόλι χωρίς φύλαξη, υπάρχει μικρή διαφορά στην αποθήκευση αρχικών κουπονιών, όπως USDC, ή τυλιγμένων κουπονιών, όπως το darcUSDC.
Ωστόσο, τα τυλιγμένα μάρκες έχουν ένα επιπλέον επίπεδο κινδύνου. Στην πραγματικότητα, η φύλαξη των εξασφαλίσεων δεν γίνεται από τους ίδιους τους χρήστες στα πορτοφόλια τους που δεν έχουν φύλαξη, αλλά από τους διαχειριστές των τυλιγμένων μάρκες.
Στην πραγματικότητα, αυτό δεν διαφέρει πολύ από ένα πορτοφόλι θεματοφυλακής, καθώς η φύλαξη των εξασφαλίσεων είναι κατά κάποιο τρόπο ισοδύναμη με τη φύλαξη των τυλιγμένων κουπονιών.
Επομένως, ακόμη και αν δεν παραβιαστούν τα πορτοφόλια των χρηστών που διαθέτουν τυλιγμένα μάρκες, σε περίπτωση παραβίασης των πορτοφολιών αποθεματικών, οι χρήστες μπορούν να χάσουν τα χρήματά τους, απλώς και μόνο επειδή ενώ εξακολουθούν να έχουν τα τυλιγμένα μάρκες δεν μπορούν πλέον να τα εξαργυρώσουν. Η πραγματική τους αξία με αυτόν τον τρόπο ουσιαστικά μηδενίζεται.
Αυτό ισχύει στην πραγματικότητα και για το USDC, επειδή, ενώ δεν είναι ένα τυλιγμένο διακριτικό, είναι ένα σταθερό νόμισμα με εξασφαλίσεις, που σημαίνει ότι έχει αποθέματα ως ασφάλεια, τα οποία κατέχονται και διαχειρίζονται από μια ενιαία οντότητα (Κύκλος).
Ο αντίκτυπος στις αγορές κρυπτογράφησης από το hack που συνέβη
Ο αντίκτυπος στις αγορές κρυπτογράφησης αυτού του hack ήταν σχεδόν μηδενικός, αν εξαιρέσουμε τα περιτυλιγμένα tokens darcWETH και darcUSDC.
Το OP, το οποίο είναι το εγγενές διακριτικό του Optimism, επίσης δεν έχει υποστεί σοβαρές απώλειες, τόσο που η τιμή του σήμερα κινήθηκε σύμφωνα με εκείνες πολλών άλλων παρόμοιων κουπονιών.
Και πάλι, τα 455,000 $ δεν είναι τόσο πολλά, και μέχρι τώρα οι αγορές κρυπτογράφησης έχουν αναπτύξει μια συνήθεια αυτού του είδους κλοπής στα πρωτόκολλα DeFi.
Επιπλέον, το DeFi δεν αφορά το Bitcoin και αυτή τη στιγμή είναι το Bitcoin που υπαγορεύει την τάση στις αγορές κρυπτογράφησης.
Καταστάσεις όπως αυτή χρησιμεύουν μόνο για την καλύτερη κατανόηση των κινδύνων που ενέχονται κατά τη χρήση πρωτοκόλλων DeFi, ειδικά όταν είναι κρυφά, όπως στην περίπτωση των τυλιγμένων κουπονιών.
Κάτι πολύ χειρότερο είχε συμβεί τον Μάρτιο, όταν ανακαλύφθηκε ότι η Circle διατηρούσε ένα σημαντικό μέρος των αποθεματικών USDC στην αποτυχημένη τράπεζα Silvergate, τόσο πολύ που για μια στιγμή φοβήθηκε ότι το stablecoin θα μπορούσε να χάσει την πρόσδεσή του με το δολάριο.
Στη συνέχεια, όμως, η κεντρική τράπεζα των ΗΠΑ παρενέβη άμεσα για να καλύψει όλες τις ελλείψεις, δίνοντας έτσι σε όλους τους καταθέτες της Silvergate πίσω όλα τα κεφάλαιά τους.
Πηγή: https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/