Хакер Arcadia Finance использовал эксплойт reentrancy, команда требует возврата средств

Злоумышленник Arcadia Finance использовал эксплойт reentrancy, чтобы вывести 455 тыс. долл. из децентрализованного финансового протокола (DeFi), говорится в отчете о вскрытии, опубликованном командой разработчиков приложения 10 июля. Эксплойт reentrancy - это ошибка, позволяющая злоумышленнику "повторно войти" в контракт или прервать его в ходе многоэтапного процесса, не позволяя завершить его правильно.

Команда направила злоумышленнику сообщение с требованием вернуть средства в течение 24 часов и угрозой обращения в полицию, если хакер не выполнит требования.

Вскрытие текущей ситуации, технический обзор и предоставление дополнительной информации о дальнейших действиях.https://t.co/NPNbbSzKBQ

- Arcadia Finance (@ArcadiaFi) 10 июля 2023 г.

Arcadia Finance подверглась атаке утром 10 июля и слила криптовалюту на сумму 455 тыс. долл. В предварительном отчете компании PeckShield, занимающейся вопросами безопасности блокчейна, говорилось, что злоумышленник использовал "отсутствие проверки ввода недоверенных данных" в контрактах приложения для слива средств. Команда Arcadia опровергла эту версию, заявив, что анализ PeckShield был ошибочным. Однако команда не объяснила, в чем, по ее мнению, заключалась причина.

В новом отчете Arcadia говорится, что функция приложения "liquidateVault()" не содержала проверки на реентерабельность. Это позволило злоумышленнику вызвать функцию до завершения проверки работоспособности, но уже после того, как он снял средства. В результате злоумышленник мог взять средства в долг и не возвращать их, вытесняя из протокола.

В настоящее время команда приостановила выполнение контрактов и работает над патчем, закрывающим эту лазейку.

Сначала злоумышленник взял у Aave флэш-кредит на сумму 20 672 доллара США в монетах USD Coin (USDC) и поместил их в хранилище Arcadia. Затем хакер использовал этот залог хранилища для заимствования 103 210 USDC из пула ликвидности Arcadia. Это было сделано с помощью функции "doActionWithLeverage()", которая позволяет пользователям занимать средства только в том случае, если их счет может оставаться здоровым к концу блока.

Злоумышленник внес в хранилище 103 210 долларов, в результате чего общая сумма средств составила 123 882 доллара. Затем хакер вывел все средства, в результате чего в хранилище не осталось никаких активов, а долг составил 103 210 долл.

Теоретически это должно было привести к откату всех действий, так как снятие средств должно было привести к тому, что счет не прошел проверку на работоспособность. Однако злоумышленник использовал вредоносный контракт для вызова liquidateVault() до начала проверки состояния счета. Хранилище было ликвидировано, и все его долги были списаны. В результате у него остались нулевые активы и нулевые обязательства, что позволило ему пройти проверку.

Поскольку после завершения всех операций счет прошел проверку на работоспособность, ни одна из операций не была возвращена, и пул был опустошен на 103 210 долл. Злоумышленник вернул кредит Aave в том же блоке. Хакер повторил эту операцию несколько раз, в результате чего из пулов на Optimism и Ethereum было выведено в общей сложности 455 000 долл.

В своем отчете команда Arcadia отвергла утверждения о том, что эксплойт был вызван недоверенным вводом данных, заявив, что эта уязвимость не была "основной проблемой" атаки.

Команда Arcadia разместила сообщение злоумышленнику, используя поле ввода данных транзакции Optimism, следующего содержания

"Мы понимаем, что Вы причастны к деятельности Arcadia Finance`s. Мы активно работаем с экспертами по безопасности и правоохранительными органами". Ваши пополнения и снятия средств на БНБ были слишком быстрыми, в наше время сложно скрыть свою личность в Интернете. Если в течение ближайших 24 часов средства не будут возвращены, мы передадим этот вопрос в правоохранительные органы".

В своем отчете Arcadia заявила, что ей удалось найти несколько перспективных зацепок для поиска злоумышленника. "Помимо получения адресов, связанных с централизованными биржами, мы также обнаружили ссылки на предыдущие эксплойты других протоколов", - говорится в отчете. "Команда в полной мере исследует как цепочечные, так и внецепочечные данные и имеет множество зацепок".

Эксплойты и мошенничество были постоянной проблемой в пространстве DeFi в 2023 году. В отчете CertiK от 5 июля говорится, что во втором квартале этого года из-за эксплойтов было потеряно более 300 млн. долл.

Соберите эту статью в качестве NFT, чтобы сохранить этот момент истории и продемонстрировать свою поддержку независимой журналистике в криптопространстве.