Новы крыпта-ўзлом на Ethereum і Optimism

Сёння быў знойдзены новы крыптаўзлом: на гэты раз быў паспяхова атакаваны пратакол DeFi Arcadia Finance на ланцужках Ethereum і Optimism. 

PeckShieldAlert апублікаваў навіну ў Twitter, паведаміўшы, што ўзлом прынёс зламыснікам каля 455,000 XNUMX долараў. 

Узлом таксама пазней пацвердзілі самі аператары Arcadia Finance. 

Праз некалькі гадзін яны паведамілі, што ім удалося звязацца з хакерам і што яны працуюць разам са сваімі партнёрамі па бяспецы, праваахоўнымі органамі і супольнасцю, каб як мага лепш вырашыць праблему, спрабуючы вярнуць сродкі на карыстальнікі пратаколу.

Памылка, якая прывяла да ўзлому крыпты

Па словах PeckShield, узлом смарт-кантракту Arcadia Finance быў звязаны з ненадзейнай праверкай уводу, якая выкарыстоўвалася для зліву сродкаў з рэзерваў darcWETH і darcUSDC.

darcWETH і darcUSDC - гэта два загорнутыя токены Arcadia Finance, таму кожны з іх змяшчае рэзервы. 

Тэарэтычна для кожнага токена darcWETH павінен быць токен WETH у рэзервах, а для кожнага токена darcUSDC павінен быць токен USDC. 

Відавочна, што смарт-кантракт, які кіруе рэзервамі гэтых двух загорнутых токенаў, меў памылку, якую змаглі выкарыстаць зламыснікі. 

Акрамя таго, PeckShield выявіў адсутнасць абароны ад паўторнага ўваходу ў гэтых смарт-кантрактах, што такім чынам дазволіла імгненнаму разліку абыйсці ўнутраную праверку стану кіраўніка рэзервамі. 

Па праўдзе кажучы, Аркадзій пазней абверг гэтую рэканструкцыю, але не змог даць альтэрнатыўнага тлумачэння. 

Большая частка сродкаў была выкрадзена з сеткі Optimism, а затым яны былі перамешчаны дзякуючы Tornado Cash, каб страціць іх след. 

Пратакол Arcadia Finance

Arcadia Finance - гэта пратакол DeFi на Ethereum і Optimism, які не мае ўласнага токена. 

Да ўзлому яго TVL складаў каля 600,000 145,000 долараў, а пасля крадзяжу ён рэзка ўпаў да XNUMX XNUMX долараў. 

Гэта пратакол без захавання, які дазваляе ствараць крос-маржынальныя рахункі ў ланцужку. 

Карыстальнікі гэтых маржынальных уліковых запісаў могуць закладваць цэлыя кашалькі, атрымліваць доступ да капіталу, які ў 10 разоў перавышае іх першапачатковы кошт закладу, і выкарыстоўваць унесены заклад і пазычаны капітал для ўзаемадзеяння з любым іншым пратаколам DeFi без дазволу. 

Крэдыторы забяспечваюць ліквіднасць крэдытных пулаў Arcadia, атрымліваючы пасіўны прыбытак.

З-за таго, што хакеры не займаюцца захаваннем, хакеры не змаглі скрасці сродкі непасрэдна з кашалькоў карыстальнікаў, а хутчэй з тых, якія выкарыстоўваліся ў якасці рэзерваў для выпуску загорнутых токенаў darcWETH і darcUSDC. 

Такім чынам, darcWETH або darcUSDC не былі скрадзеныя непасрэдна з кашалькоў карыстальнікаў, але WETH і USDC былі скрадзены з кашалькоў, на якіх захоўваліся рэзервы. Гэта азначае, што больш няма 1 WETH на кожны выпушчаны darcWETH і 1 USDC на кожны выпушчаны darcUSDC, таму ў карыстальнікаў па-ранейшаму захоўваюцца ўсе загорнутыя токены, але яны больш не могуць іх выкупіць.

Праблема з загорнутымі токенамі

Часта кажуць, што кашалькі без захавання бяспечныя, калі захоўваць і абслугоўваць іх належным чынам, але часам рызыкі ляжаць вышэй па плыні. 

Сапраўды, для любога кашалька без захавання няма розніцы ў захоўванні арыгінальных токенаў, такіх як USDC, або загорнутых токенаў, такіх як darcUSDC. 

Аднак загорнутыя токены маюць дадатковы ўзровень рызыкі. Фактычна, захаванне закладу ажыццяўляецца не самімі карыстальнікамі на іх кашальках, якія не з'яўляюцца захавальнікамі, а кіраўнікамі загорнутых токенаў. 

Фактычна, гэта не вельмі адрозніваецца ад кашалька для апекі, паколькі захаванне закладу ў пэўным сэнсе эквівалентна захаванню загорнутых токенаў. 

Такім чынам, нават калі кашалькі карыстальнікаў, якія трымаюць загорнутыя токены, не ўзламаныя, у выпадку ўзлому рэзервовых кашалькоў карыстальнікі могуць страціць свае сродкі проста таму, што, пакуль у іх яшчэ ёсць загорнутыя токены, яны больш не могуць іх выкупіць. Іх фактычны кошт такім чынам фактычна зводзіцца да нуля. 

На самай справе гэта адносіцца і да USDC, таму што, хаця гэта і не загорнуты токен, ён з'яўляецца стейблкоіном з забеспячэннем, што азначае, што ён мае рэзервы ў якасці закладу, які захоўваецца і кіруецца адной арганізацыяй (Circle). 

Уплыў узлому на крыпта-рынкі

Уплыў гэтага ўзлому на крыпта-рынкі быў амаль нулявым, калі выключыць загорнутыя токены darcWETH і darcUSDC. 

OP, які з'яўляецца родным токенам Optimism, таксама не панёс сур'ёзных страт, настолькі, што сёння яго цана рухалася ў адпаведнасці з цаной многіх іншых падобных токенаў. 

Зноў жа, 455,000 XNUMX долараў - гэта не так ужо і шмат, і на дадзены момант на крыптарынках выпрацавалася звычка да такога роду крадзяжоў на пратаколах DeFi. 

Больш за тое, DeFi - гэта не біткойн, і зараз менавіта біткойн дыктуе тэндэнцыю на крыптарынках. 

Сітуацыі, падобныя гэтай, служаць толькі для лепшага разумення рызык, звязаных з выкарыстаннем пратаколаў DeFi, асабліва калі яны схаваныя, як у выпадку з абгорнутымі токенамі. 

Нешта значна горшае здарылася ў сакавіку, калі высветлілася, што Circle захоўвае значную частку рэзерваў USDC у збанкрутаваўшым банку Silvergate, настолькі, што на імгненне ўзнікла боязь, што стейблкойн можа страціць прывязку да долара. 

Але затым цэнтральны банк ЗША непасрэдна ўмяшаўся, каб пакрыць усе дэфіцыты, тым самым вярнуўшы ўсім укладчыкам Silvergate усе іх сродкі.