Isang bagong crypto hack ang natuklasan ngayon: sa pagkakataong ito ang DeFi Arcadia Finance protocol sa Ethereum at Optimism chain ay matagumpay na naatake.
Sinira ng PeckShieldAlert ang balita sa Twitter, na nag-uulat na ang hack ay nakakuha ng mga umaatake ng humigit-kumulang $455,000.
Ang hack ay nakumpirma rin sa kalaunan ng mga operator ng Arcadia Finance mismo.
Pagkaraan ng ilang oras, iniulat nila na nakipag-ugnayan sila sa hacker, at nakipagtulungan sila sa kanilang mga kasosyo sa seguridad, tagapagpatupad ng batas, at komunidad upang malutas ang problema sa abot ng kanilang makakaya sa pagsisikap na mabawi ang mga pondo para sa mga gumagamit ng protocol.
Ang bug na humantong sa crypto hack
Ayon sa PeckShield, ang hack sa smart contract ng Arcadia Finance ay dahil sa hindi pinagkakatiwalaang input validation na pinagsamantalahan upang maubos ang mga pondo mula sa darcWETH at darcUSDC reserves.
Ang darcWETH at darcUSDC ay dalawang nakabalot na token ng Arcadia Finance, kaya bawat isa ay may hawak na reserba.
Sa teoryang para sa bawat darcWETH token dapat mayroong WETH token sa mga reserves, at para sa bawat darcUSDC token dapat mayroong USDC token.
Malinaw na ang matalinong kontrata na namamahala sa mga reserba ng dalawang nakabalot na token na ito ay may bug na nagawang pagsamantalahan ng mga umaatake.
Higit pa rito, natuklasan ng PeckShield ang kakulangan ng proteksyon sa muling pagpasok sa mga smart contract na ito, na sa paraang ito ay nagbigay-daan sa instant settlement na laktawan ang internal state check ng reserves manager.
Upang maging patas, pinabulaanan ni Arcadia ang muling pagtatayo na ito, ngunit hindi nakapagbigay ng alternatibong paliwanag.
Karamihan sa mga pondo ay ninakaw mula sa kadena ng Optimism, at pagkatapos ay inilipat sila salamat sa Tornado Cash upang mawala ang mga ito.
Ang protocol ng Arcadia Finance
Ang Arcadia Finance ay isang DeFi protocol sa Ethereum at Optimism na walang sariling katutubong token.
Bago ang hack, ang TVL nito ay humigit-kumulang $600,000, habang pagkatapos ng pagnanakaw ay bumagsak ito sa $145,000.
Ito ay isang non-custodial protocol na nagbibigay-daan para sa komposisyon ng on-chain na cross-margin account.
Maaaring i-collateral ng mga user ng mga margin account na ito ang buong wallet, mag-access ng hanggang 10 beses na mas malaking kapital kaysa sa kanilang paunang halaga ng collateral, at gamitin ang idinepositong collateral at hiniram na kapital upang makipag-ugnayan sa anumang iba pang DeFi protocol sa paraang walang pahintulot.
Ang mga nagpapahiram ay nagbibigay ng pagkatubig sa mga loan pool ng Arcadia, na nakakakuha ng mga passive return.
Dahil hindi custodial, hindi direktang nakawin ng mga hacker ang mga pondo mula sa mga wallet ng mga user, sa halip ay mula sa mga ginamit bilang mga reserba para sa pag-isyu ng mga nakabalot na token na darcWETH at darcUSDC.
Kaya, walang darcWETH o darcUSDC ang direktang ninakaw mula sa mga wallet ng mga gumagamit, ngunit ang WETH at USDC ay ninakaw mula sa mga wallet kung saan nakahawak ang mga reserba. Nangangahulugan ito na wala nang 1 WETH para sa bawat darcWETH na inisyu, at 1 USDC para sa bawat darcUSDC na inilabas, kaya epektibong nasa mga user pa rin ang lahat ng kanilang nakabalot na token ngunit hindi na sila matutubos.
Ang problema sa mga nakabalot na token
Madalas na sinasabi na ang mga wallet na hindi custodial ay ligtas, kung naiimbak at pinananatili ng maayos, ngunit kung minsan ang mga panganib ay nasa itaas ng agos.
Sa katunayan, para sa anumang non-custodial wallet ay may kaunting pagkakaiba sa pag-iimbak ng mga orihinal na token, gaya ng USDC, o mga nakabalot na token, gaya ng darcUSDC.
Gayunpaman, ang mga nakabalot na token ay may karagdagang layer ng panganib. Sa katunayan, ang pag-iingat ng collateral ay hindi ginagawa ng mga gumagamit mismo sa kanilang mga non-custodial wallet, ngunit ng mga tagapamahala ng mga nakabalot na token.
Sa katunayan, ito ay hindi masyadong naiiba sa isang custodial wallet, dahil ang pag-iingat ng collateral ay sa ilang mga paraan ay katumbas ng pag-iingat ng mga nakabalot na token.
Kaya't kahit na ang mga wallet ng mga user na may hawak na mga nakabalot na token ay hindi nasira, sa kaganapan ng isang paglabag sa mga reserbang wallet, ang mga user ay maaari pa ring mawala ang kanilang mga pondo, dahil lamang habang mayroon pa sila ng mga nakabalot na token ay hindi na nila ito matutubos. Ang kanilang aktwal na halaga sa ganitong paraan ay epektibong napupunta sa zero.
Nalalapat din ito sa USDC, dahil kahit hindi ito nakabalot na token, ito ay isang collateralized stablecoin, ibig sabihin, mayroon itong mga reserba bilang collateral, na hawak at pinamamahalaan ng isang entity (Circle).
Ang epekto sa crypto markets ng hack na nangyari
Ang epekto sa mga crypto market ng hack na ito ay halos zero, kung hindi namin isasama ang mga nakabalot na token na darcWETH at darcUSDC.
Ang OP, na katutubong token ng Optimism, ay hindi rin nakaranas ng malubhang pagkalugi, kaya't ang presyo nito ngayon ay lumipat sa linya kasama ng marami pang katulad na mga token.
At muli, ang $455,000 ay hindi ganoon kalaki, at sa ngayon ang mga crypto market ay nakabuo ng isang ugali ng ganitong uri ng pagnanakaw sa mga protocol ng DeFi.
Bukod dito, ang DeFi ay hindi tungkol sa Bitcoin, at sa ngayon ay Bitcoin ang nagdidikta ng trend sa mga crypto market.
Ang mga sitwasyong tulad nito ay nagsisilbi lamang upang magbigay ng mas mahusay na pag-unawa sa mga panganib na kasangkot kapag gumagamit ng mga DeFi protocol, lalo na kapag nakatago ang mga ito tulad ng sa kaso ng mga nakabalot na token.
May mas masahol pa na nangyari noong Marso, nang matuklasan na ang Circle ay may hawak na malaking bahagi ng mga reserbang USDC sa nabigong bangko ng Silvergate, kaya't sa ilang sandali ay natakot na ang stablecoin ay maaaring mawala ang peg nito sa dolyar.
Ngunit pagkatapos ay direktang namagitan ang sentral na bangko ng US upang masakop ang lahat ng mga pagkukulang, sa gayon ay ibinalik sa lahat ng mga depositor ng Silvergate ang lahat ng kanilang mga pondo.
Pinagmulan: https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/