Нов крипто хак на Ethereum и Optimism

Днес беше открит нов крипто хак: този път протоколът DeFi Arcadia Finance на веригите Ethereum и Optimism беше успешно атакуван. 

PeckShieldAlert разпространи новината в Twitter, като съобщи, че хакът е спечелил на нападателите около $455,000 XNUMX. 

По-късно хакът беше потвърден и от самите оператори на Arcadia Finance. 

След няколко часа те съобщиха, че са успели да се свържат с хакера и че работят заедно със своите партньори по сигурността, правоприлагащите органи и общността, за да разрешат проблема възможно най-добре в опит да възстановят средства за потребители на протокола.

Грешката, довела до крипто хака

Според PeckShield хакването на интелигентния договор на Arcadia Finance се дължи на ненадеждно валидиране на вход, използвано за източване на средства от резервите на darcWETH и darcUSDC.

darcWETH и darcUSDC са два опаковани токена на Arcadia Finance, така че всеки от тях съдържа резерви. 

Теоретично за всеки токен darcWETH трябва да има токен WETH в резервите, а за всеки токен darcUSDC трябва да има токен USDC. 

Очевидно интелигентният договор, който управлява резервите на тези два опаковани токена, е имал грешка, която нападателите са успели да използват. 

Освен това PeckShield откри липса на защита при повторно влизане в тези интелигентни договори, което по този начин позволи незабавното сетълмент да заобиколи вътрешната проверка на състоянието на мениджъра на резервите. 

За да бъдем честни, Аркадия по-късно опроверга тази реконструкция, но не можа да предостави алтернативно обяснение. 

Голяма част от средствата са откраднати от веригата на Оптимизъм, след което са преместени благодарение на Tornado Cash, за да се изгуби следата им. 

Протоколът Arcadia Finance

Arcadia Finance е DeFi протокол на Ethereum и Optimism, който няма собствен токен. 

Преди хакването неговият TVL беше около $600,000 145,000, докато след кражбата падна до $XNUMX XNUMX. 

Това е протокол без попечителство, който позволява съставянето на крос маржин сметки във веригата. 

Потребителите на тези маржин акаунти могат да обезпечават цели портфейли, да имат достъп до 10 пъти повече капитал от първоначалната им стойност на обезпечението и да използват депозираното обезпечение и зает капитал, за да взаимодействат с всеки друг DeFi протокол по начин без разрешение. 

Кредиторите осигуряват ликвидност на пуловете от заеми на Arcadia, печелейки пасивна възвращаемост.

Тъй като не са попечителски, хакерите не са успели да откраднат средства директно от портфейлите на потребителите, а по-скоро от тези, използвани като резерви за издаване на опакованите токени darcWETH и darcUSDC. 

По този начин никакви darcWETH или darcUSDC не са били откраднати директно от портфейлите на потребителите, но WETH и USDC са били откраднати от портфейлите, в които са били държани резервите. Това означава, че вече няма 1 WETH за всеки издаден darcWETH и 1 USDC за всеки издаден darcUSDC, така че на практика потребителите все още имат всичките си опаковани токени, но вече не могат да ги осребрят.

Проблемът с опаковани токени

Често се казва, че портфейлите без попечителство са безопасни, ако се съхраняват и поддържат правилно, но понякога рисковете са нагоре по веригата. 

Наистина, за всеки портфейл без попечителство има малка разлика в съхраняването на оригинални токени, като USDC, или опаковани токени, като darcUSDC. 

Опакованите токени обаче имат допълнителен слой риск. Всъщност попечителството на обезпечението не се извършва от самите потребители на техните портфейли без попечителство, а от мениджърите на опакованите токени. 

Всъщност това не е много по-различно от портфейла за попечителство, тъй като попечителството на обезпечението е по някакъв начин еквивалентно на попечителството на опакованите токени. 

Следователно, дори ако портфейлите на потребители, притежаващи опаковани токени, не са пробити, в случай на нарушение на резервните портфейли, потребителите все още могат да загубят средствата си, просто защото докато все още имат опакованите токени, те вече не могат да ги изкупят. Действителната им стойност по този начин на практика отива до нула. 

Това всъщност се отнася и за USDC, тъй като макар да не е опакован токен, той е обезпечен стейбълкойн, което означава, че има резерви като обезпечение, което се държи и управлява от един субект (Circle). 

Въздействието върху крипто пазарите на настъпилия хак

Въздействието върху крипто пазарите от този хак е почти нулево, ако изключим опакованите токени darcWETH и darcUSDC. 

OP, който е родният токен на Optimism, също не претърпя сериозни загуби, дотолкова, че цената му днес се движеше в съответствие с тези на много други подобни токени. 

От друга страна, $455,000 XNUMX не са толкова много и досега крипто пазарите са развили навик за този вид кражба на DeFi протоколи. 

Освен това DeFi не е свързан с биткойни и в момента биткойн е този, който диктува тенденцията на крипто пазарите. 

Ситуации като тази служат само за осигуряване на по-добро разбиране на рисковете, свързани с използването на DeFi протоколи, особено когато те са скрити, както в случая с опаковани токени. 

Нещо много по-лошо се случи през март, когато беше открито, че Circle държи значителна част от резервите на USDC в фалиралата банка Silvergate, дотолкова, че за момент се опасяваше, че стейбълкойнът може да загуби връзката си с долара. 

Но след това централната банка на САЩ се намеси директно, за да покрие всички недостиг, като по този начин върна всичките си средства на всички вложители в Silvergate.