Nov kripto vdor v Ethereum in Optimism

Danes je bil odkrit nov kripto vdor: tokrat je bil uspešno napaden protokol DeFi Arcadia Finance v verigah Ethereum in Optimism. 

PeckShieldAlert je objavil novico na Twitterju in poročal, da je vdor napadalcem prinesel približno 455,000 $. 

Vdor so pozneje potrdili tudi sami operaterji Arcadia Finance. 

Po nekaj urah so sporočili, da jim je uspelo vzpostaviti stik s hekerjem in da sodelujejo s svojimi varnostnimi partnerji, organi kazenskega pregona in skupnostjo, da bi kar najbolje rešili težavo v prizadevanju za povrnitev sredstev za uporabniki protokola.

Napaka, ki je privedla do vdora v kripto

Po navedbah PeckShielda je do vdora v pametno pogodbo Arcadia Finance prišlo zaradi nezaupljive validacije vnosa, ki je bila izkoriščena za črpanje sredstev iz rezerv darcWETH in darcUSDC.

darcWETH in darcUSDC sta dva zavita žetona Arcadia Finance, zato imata vsak rezerve. 

Teoretično bi moral biti za vsak žeton darcWETH v rezervah žeton WETH, za vsak žeton darcUSDC pa žeton USDC. 

Očitno je imela pametna pogodba, ki upravlja rezerve teh dveh zavitih žetonov, napako, ki so jo napadalci lahko izkoristili. 

Poleg tega je PeckShield v teh pametnih pogodbah odkril pomanjkanje zaščite pred ponovnim vstopom, kar je na ta način omogočilo, da takojšnja poravnava zaobide preverjanje notranjega stanja upravitelja rezerv. 

Če smo pošteni, je Arcadia kasneje ovrgla to rekonstrukcijo, vendar ni mogla ponuditi druge razlage. 

Večino sredstev so ukradli iz verige Optimizma, nato pa so jih po zaslugi Tornado Cash premaknili, da se je za njimi izgubila sled. 

Protokol Arcadia Finance

Arcadia Finance je protokol DeFi za Ethereum in Optimism, ki nima lastnega izvornega žetona. 

Pred vdorom je bil njegov TVL približno 600,000 dolarjev, po kraji pa je padel na 145,000 dolarjev. 

To je neskrbniški protokol, ki omogoča sestavo računov navzkrižne marže v verigi. 

Uporabniki teh maržinskih računov lahko zavarujejo celotne denarnice, dostopajo do do 10-krat večjega kapitala od njihove začetne vrednosti zavarovanja ter uporabljajo deponirano zavarovanje in izposojeni kapital za interakcijo s katerim koli drugim protokolom DeFi na način brez dovoljenja. 

Posojilodajalci zagotavljajo likvidnost skladom posojil Arcadia in tako zaslužijo pasivne donose.

Ker hekerji niso skrbniški, niso mogli ukrasti sredstev neposredno iz denarnic uporabnikov, temveč iz tistih, ki so bile uporabljene kot rezerve za izdajo zavitih žetonov darcWETH in darcUSDC. 

Tako darcWETH ali darcUSDC nista bila ukradena neposredno iz denarnic uporabnikov, vendar sta bila WETH in USDC ukradena iz denarnic, v katerih so bile rezerve. To pomeni, da ni več 1 WETH za vsak izdan darcWETH in 1 USDC za vsak izdan darcUSDC, tako da imajo uporabniki dejansko še vedno vse svoje zavite žetone, vendar jih ne morejo več unovčiti.

Težava z zavitimi žetoni

Pogosto se pravi, da so denarnice brez skrbništva varne, če so pravilno shranjene in vzdrževane, vendar so včasih tveganja navzgor. 

Dejansko je za katero koli denarnico brez skrbništva majhna razlika pri shranjevanju originalnih žetonov, kot je USDC, ali zavitih žetonov, kot je darcUSDC. 

Vendar imajo zaviti žetoni dodatno plast tveganja. Pravzaprav skrbništvo nad zavarovanjem ne izvajajo uporabniki sami na svojih neskrbniških denarnicah, temveč upravljavci zavitih žetonov. 

Pravzaprav se to ne razlikuje zelo od skrbniške denarnice, saj je skrbništvo nad zavarovanjem na nek način enakovredno skrbništvu zavitih žetonov. 

Zato tudi če denarnice uporabnikov, ki imajo zavite žetone, niso vdrene, lahko v primeru vdora v rezervne denarnice uporabniki še vedno izgubijo svoja sredstva, preprosto zato, ker jih ne morejo več unovčiti, čeprav še imajo zavite žetone. Njihova dejanska vrednost na ta način dejansko pade na nič. 

To dejansko velja tudi za USDC, ker čeprav ni zavit žeton, je zavarovan stabilni coin, kar pomeni, da ima kot zavarovanje rezerve, ki jih hrani in upravlja en sam subjekt (Circle). 

Vpliv vdora, ki se je zgodil, na kripto trge

Vpliv tega vdora na kripto trge je bil skoraj enak nič, če izvzamemo zavite žetone darcWETH in darcUSDC. 

OP, ki je izvorni žeton Optimism, prav tako ni utrpel resnih izgub, tako da se je njegova današnja cena gibala v skladu s cenami mnogih drugih podobnih žetonov. 

Še enkrat, 455,000 $ ni tako veliko in do zdaj so kripto trgi razvili navado tovrstne kraje na protokolih DeFi. 

Poleg tega pri DeFi ne gre za Bitcoin in trenutno je Bitcoin tisti, ki narekuje trend na kripto trgih. 

Situacije, kot je ta, služijo le boljšemu razumevanju tveganj, povezanih z uporabo protokolov DeFi, zlasti če so skriti, kot v primeru zavitih žetonov. 

Nekaj ​​veliko hujšega se je zgodilo marca, ko je bilo ugotovljeno, da ima Circle pomemben del USDC rezerv v propadli banki Silvergate, tako zelo, da se je za trenutek pojavil strah, da bi lahko stabilni coin izgubil svojo vezanost z dolarjem. 

Toda nato je ameriška centralna banka neposredno posredovala, da bi pokrila vse primanjkljaje, s čimer je vsem vlagateljem Silvergate vrnila vsa njihova sredstva.