פריצת קריפטו חדשה התגלתה היום: הפעם הותקף בהצלחה פרוטוקול DeFi Arcadia Finance ברשתות Ethereum ו-Optimism.
PeckShieldAlert פרסמה את החדשות בטוויטר, ודיווחה שהפריצה גרמה לתוקפים כ-455,000 דולר.
הפריצה אושרה מאוחר יותר גם על ידי מפעילי ארקדיה פיננסים עצמם.
לאחר מספר שעות, הם דיווחו שהם הצליחו ליצור קשר עם ההאקר, וכי הם עובדים יחד עם שותפי האבטחה שלהם, גורמי אכיפת החוק והקהילה כדי לפתור את הבעיה כמיטב יכולתם במאמץ להחזיר כספים עבור משתמשי פרוטוקול.
הבאג שהוביל לפריצת הקריפטו
לפי PeckShield, הפריצה לחוזה החכם של Arcadia Finance נבעה מאימות קלט לא מהימן שניצל כדי לנקז כספים מרזרבות darcWETH ו-darcUSDC.
darcWETH ו-darcUSDC הם שני אסימוני ארקדיה פיננסים עטופים, כך שכל אחד מהם מחזיק ברזרבות.
תיאורטית עבור כל אסימון darcWETH צריך להיות אסימון WETH ברזרבות, ולכל אסימון darcUSDC צריך להיות אסימון USDC.
ברור שלחוזה החכם שמנהל את העתודות של שני האסימונים העטופים הללו היה באג שתוקפים הצליחו לנצל.
יתרה מזאת, PeckShield גילתה היעדר הגנת כניסה חוזרת בחוזים החכמים הללו, מה שאיפשר בדרך זו להסדר המיידי לעקוף את בדיקת המדינה הפנימית של מנהל המילואים.
למען ההגינות, ארקדיה הפריכה מאוחר יותר את השחזור הזה, אך לא הצליחה לספק הסבר חלופי.
רוב הכספים נגנבו מרשת אופטימיזם, ואז הם הועברו הודות לטורנדו קאש על מנת לאבד את המעקב אחריהם.
פרוטוקול ארקדיה פיננסים
Arcadia Finance הוא פרוטוקול DeFi בנושא Ethereum ואופטימיות שאין לו אסימון מקורי משלו.
לפני הפריצה, ה-TVL שלה היה כ-600,000 דולר, בעוד שלאחר הגניבה הוא צנח ל-145,000 דולר.
זהו פרוטוקול שאינו משמורן המאפשר הרכבה של חשבונות חוצי שוליים בשרשרת.
משתמשים בחשבונות שוליים אלה יכולים להעמיד בטחונות של ארנקים שלמים, לגשת עד פי 10 ליותר הון מערך הביטחונות הראשוני שלהם, ולהשתמש בביטחונות המופקדים ובהון השאול כדי לקיים אינטראקציה עם כל פרוטוקול DeFi אחר באופן חסר רשות.
המלווים מספקים נזילות למאגרי ההלוואות של ארקדיה, ומרוויחים תשואות פסיביות.
בהיותם לא משמורנים, ההאקרים לא הצליחו לגנוב כספים ישירות מהארנקים של המשתמשים, אלא מאלה ששימשו כעתודות להנפקת האסימונים העטופים darcWETH ו-darcUSDC.
לפיכך, שום darcWETH או darcUSDC לא נגנבו ישירות מארנקי המשתמשים, אלא WETH ו-USDC נגנבו מהארנקים עליהם הוחזקו הרזרבות. המשמעות היא שאין עוד WETH 1 עבור כל darcWETH שהונפקו, ו-1 USDC עבור כל darcUSDC שהונפקו, כך שלמעשה למשתמשים עדיין יש את כל האסימונים העטופים שלהם, אך אינם יכולים עוד לממש אותם.
הבעיה עם אסימונים עטופים
לעתים קרובות אומרים כי ארנקים שאינם משמורנים בטוחים, אם מאוחסנים ומתוחזקים כראוי, אך לפעמים הסיכונים נמצאים במעלה הזרם.
ואכן, עבור כל ארנק שאינו משמורת, יש הבדל קטן באחסון אסימונים מקוריים, כגון USDC, או אסימונים עטופים, כגון darcUSDC.
עם זאת, לאסימונים עטופים יש שכבת סיכון נוספת. למעשה, המשמורת על הבטחונות לא נעשית על ידי המשתמשים עצמם על הארנקים הלא משמורנים שלהם, אלא על ידי מנהלי האסימונים העטופים.
למעשה, זה לא שונה מאוד מארנק משמורת, שכן משמורת על הבטחונות שווה במובנים מסוימים למשמורת על האסימונים העטופים.
לכן גם אם הארנקים של משתמשים המחזיקים באסימונים עטופים לא נפרצו, במקרה של הפרה של ארנקי המילואים, המשתמשים עדיין יכולים להפסיד את הכספים שלהם, פשוט כי בזמן שעדיין יש להם את האסימונים העטופים הם לא יכולים עוד לפדות אותם. הערך האמיתי שלהם בדרך זו הולך למעשה לאפס.
זה תקף למעשה גם ל-USDC, מכיוון שהוא אמנם לא אסימון עטוף, אבל מדובר ב-Stablecoin עם בטחונות, כלומר יש לו עתודות כבטוחות, המוחזקות ומנוהלות על ידי ישות אחת (Circle).
ההשפעה על שוקי הקריפטו של הפריצה שהתרחשה
ההשפעה על שוקי הקריפטו של פריצה זו הייתה כמעט אפסית, אם לא נכלול את האסימונים העטופים darcWETH ו-darcUSDC.
גם OP, שהוא האסימון המקומי של אופטימיזם, לא ספג הפסדים רציניים, עד כדי כך שהמחיר שלו היום נע בהתאם לאלו של אסימונים דומים רבים אחרים.
שוב, 455,000 $ זה לא כל כך הרבה, ועד עכשיו שוקי הקריפטו פיתחו הרגל של סוג זה של גניבה על פרוטוקולי DeFi.
יתרה מכך, DeFi לא עוסק בביטקוין, וכרגע זה הביטקוין שמכתיב את המגמה בשווקי הקריפטו.
מצבים כמו זה רק משמשים לספק הבנה טובה יותר של הסיכונים הכרוכים בשימוש בפרוטוקולי DeFi, במיוחד כאשר הם מוסתרים כמו במקרה של אסימונים עטופים.
משהו הרבה יותר גרוע קרה במרץ, כאשר התגלה שסירקל מחזיקה בחלק ניכר מהעתודות של USDC בבנק סילברגייט הכושל, עד כדי כך שלרגע חשש שה-stablecoin עלול לאבד את ההצמדה שלו לדולר.
אבל אז הבנק המרכזי של ארה"ב התערב ישירות כדי לכסות את כל החסרים, ובכך החזיר לכל המפקידים בסילברגייט את כל הכספים שלהם.
מקור: https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/