Vandaag is een nieuwe crypto-hack ontdekt: dit keer werd het DeFi Arcadia Finance-protocol op de Ethereum- en Optimism-ketens met succes aangevallen.
PeckShieldAlert brak het nieuws op Twitter en meldde dat de hack de aanvallers ongeveer $ 455,000 opleverde.
De hack werd later ook bevestigd door de operators van Arcadia Finance zelf.
Na een paar uur meldden ze dat ze contact hadden kunnen maken met de hacker en dat ze samenwerkten met hun beveiligingspartners, wetshandhavers en de gemeenschap om het probleem zo goed mogelijk op te lossen in een poging geld terug te krijgen voor protocol gebruikers.
De bug die leidde tot de crypto-hack
Volgens PeckShield was de hack van het slimme contract van Arcadia Finance te wijten aan het misbruik van niet-vertrouwde invoervalidatie om geld uit de darcWETH- en darcUSDC-reserves te halen.
darcWETH en darcUSDC zijn twee ingepakte Arcadia Finance-tokens, dus ze houden elk reserves aan.
Theoretisch zou er voor elk darcWETH-token een WETH-token in de reserves moeten zijn, en voor elk darcUSDC-token zou er een USDC-token moeten zijn.
Blijkbaar had het slimme contract dat de reserves van deze twee ingepakte tokens beheert een bug die aanvallers konden misbruiken.
Bovendien ontdekte PeckShield een gebrek aan terugkeerbescherming in deze slimme contracten, waardoor de onmiddellijke afwikkeling de interne staatscontrole van de reservebeheerder kon omzeilen.
Om eerlijk te zijn, weerlegde Arcadia deze reconstructie later, maar kon geen alternatieve verklaring geven.
De meeste fondsen werden gestolen uit de keten van Optimism en werden vervolgens verplaatst dankzij Tornado Cash om ze uit het oog te verliezen.
Het Arcadia Finance-protocol
Arcadia Finance is een DeFi-protocol op Ethereum en Optimism dat geen eigen native token heeft.
Vóór de hack was de TVL ongeveer $ 600,000, terwijl deze na de diefstal kelderde tot $ 145,000.
Dit is een niet-bewarend protocol dat de samenstelling van on-chain cross-margin accounts mogelijk maakt.
Gebruikers van deze margerekeningen kunnen hele portefeuilles onderpand geven, toegang krijgen tot tot 10 keer meer kapitaal dan hun initiële onderpandwaarde, en het gestorte onderpand en het geleende kapitaal gebruiken om zonder toestemming met elk ander DeFi-protocol te communiceren.
Kredietverstrekkers verschaffen liquiditeit aan Arcadia's leningenpools en verdienen passief rendement.
Omdat ze geen bewaarnemer waren, waren de hackers niet in staat om geld rechtstreeks uit de portemonnee van gebruikers te stelen, maar eerder uit de portemonnee die werd gebruikt als reserve voor de uitgifte van de ingepakte tokens darcWETH en darcUSDC.
Er werden dus geen darcWETH of darcUSDC rechtstreeks uit de portemonnee van gebruikers gestolen, maar WETH en USDC werden gestolen uit de portemonnee waarop de reserves stonden. Dit betekent dat er niet langer 1 WETH is voor elke uitgegeven darcWETH en 1 USDC voor elke uitgegeven darcUSDC, dus in feite hebben gebruikers nog steeds al hun ingepakte tokens, maar kunnen ze niet langer inwisselen.
Het probleem met ingepakte tokens
Er wordt vaak gezegd dat niet-bewarende portemonnees veilig zijn, mits ze op de juiste manier worden bewaard en onderhouden, maar soms liggen de risico's stroomopwaarts.
Inderdaad, voor elke niet-bewarende portemonnee is er weinig verschil in het opslaan van originele tokens, zoals USDC, of ingepakte tokens, zoals darcUSDC.
Verpakte tokens hebben echter een extra risicolaag. In feite wordt de bewaring van het onderpand niet gedaan door de gebruikers zelf op hun niet-bewarende portemonnees, maar door de beheerders van de ingepakte tokens.
In feite verschilt dit niet veel van een bewaarportemonnee, aangezien de bewaring van het onderpand in sommige opzichten gelijk is aan de bewaring van de ingepakte tokens.
Dus zelfs als de portefeuilles van gebruikers met ingepakte tokens niet worden geschonden, kunnen gebruikers in het geval van een inbreuk op de reserveportefeuilles nog steeds hun geld verliezen, simpelweg omdat ze de ingepakte tokens nog niet langer kunnen inwisselen. Hun werkelijke waarde gaat op deze manier effectief naar nul.
Dit geldt eigenlijk ook voor USDC, want hoewel het geen verpakt token is, is het een door onderpand gedekte stablecoin, wat betekent dat het reserves als onderpand heeft, die worden aangehouden en beheerd door een enkele entiteit (Circle).
De impact op cryptomarkten van de hack die plaatsvond
De impact op de cryptomarkten van deze hack is bijna nul geweest, als we de verpakte tokens darcWETH en darcUSDC uitsluiten.
OP, het oorspronkelijke token van Optimism, heeft ook geen ernstige verliezen geleden, zozeer zelfs dat de prijs vandaag in lijn is met die van vele andere vergelijkbare tokens.
Aan de andere kant is $ 455,000 niet zo veel, en inmiddels hebben de cryptomarkten een gewoonte ontwikkeld van dit soort diefstal op DeFi-protocollen.
Bovendien gaat DeFi niet over Bitcoin, en op dit moment is het Bitcoin dat de trend in de cryptomarkten dicteert.
Situaties als deze dienen alleen om een beter begrip te krijgen van de risico's bij het gebruik van DeFi-protocollen, vooral wanneer ze verborgen zijn, zoals in het geval van ingepakte tokens.
Er was iets veel ergers gebeurd in maart, toen werd ontdekt dat Circle een aanzienlijk deel van de USDC-reserves op de failliete Silvergate-bank had, zo erg zelfs dat even werd gevreesd dat de stablecoin zijn koppeling met de dollar zou verliezen.
Maar toen greep de Amerikaanse centrale bank direct in om alle tekorten te dekken, waardoor alle Silvergate-depositohouders al hun geld terugkregen.
Bron: https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/