Penggodaman crypto baharu ditemui hari ini: kali ini protokol DeFi Arcadia Finance pada rantaian Ethereum dan Optimisme berjaya diserang.
PeckShieldAlert menyebarkan berita itu di Twitter, melaporkan bahawa penggodaman itu menjaringkan penyerang kira-kira $455,000.
Penggodaman itu juga kemudiannya disahkan oleh pengendali Arcadia Finance sendiri.
Selepas beberapa jam, mereka melaporkan bahawa mereka dapat membuat hubungan dengan penggodam, dan bahawa mereka sedang bekerjasama dengan rakan kongsi keselamatan mereka, penguatkuasa undang-undang dan komuniti untuk menyelesaikan masalah itu sebaik mungkin dalam usaha mendapatkan semula dana untuk pengguna protokol.
Pepijat yang membawa kepada penggodaman kripto
Menurut PeckShield, penggodaman kontrak pintar Arcadia Finance adalah disebabkan oleh pengesahan input yang tidak dipercayai dieksploitasi untuk mengalirkan dana daripada rizab darcWETH dan darcUSDC.
darcWETH dan darcUSDC ialah dua token Arcadia Finance yang dibungkus, jadi masing-masing memegang rizab.
Secara teorinya untuk setiap token darcWETH harus ada token WETH dalam rizab, dan untuk setiap token darcUSDC harus ada token USDC.
Jelas sekali kontrak pintar yang menguruskan rizab dua token yang dibungkus ini mempunyai pepijat yang boleh dieksploitasi oleh penyerang.
Tambahan pula, PeckShield mendapati kekurangan perlindungan kemasukan semula dalam kontrak pintar ini, yang dengan cara ini membenarkan penyelesaian segera memintas pemeriksaan keadaan dalaman pengurus rizab.
Untuk bersikap adil, Arcadia kemudiannya menyangkal pembinaan semula ini, tetapi tidak dapat memberikan penjelasan alternatif.
Kebanyakan dana telah dicuri daripada rangkaian Optimisme, dan kemudiannya dipindahkan terima kasih kepada Tornado Cash untuk kehilangan jejak mereka.
Protokol Arcadia Finance
Arcadia Finance ialah protokol DeFi pada Ethereum dan Optimisme yang tidak mempunyai token aslinya sendiri.
Sebelum penggodaman, TVLnya adalah kira-kira $600,000, manakala selepas kecurian ia menjunam kepada $145,000.
Ini ialah protokol bukan jagaan yang membenarkan komposisi akaun silang silang dalam rantaian.
Pengguna akaun margin ini boleh mencagarkan keseluruhan dompet, mengakses sehingga 10 kali lebih banyak modal daripada nilai cagaran awal mereka, dan menggunakan cagaran yang didepositkan dan modal yang dipinjam untuk berinteraksi dengan mana-mana protokol DeFi lain dengan cara tanpa kebenaran.
Pemberi pinjaman menyediakan kecairan kepada kumpulan pinjaman Arcadia, memperoleh pulangan pasif.
Sebagai bukan penjaga, penggodam tidak dapat mencuri dana terus daripada dompet pengguna, sebaliknya daripada yang digunakan sebagai rizab untuk mengeluarkan token yang dibungkus darcWETH dan darcUSDC.
Oleh itu, tiada darcWETH atau darcUSDC dicuri terus daripada dompet pengguna, tetapi WETH dan USDC telah dicuri daripada dompet di mana rizab itu disimpan. Ini bermakna tiada lagi 1 WETH untuk setiap darcWETH yang dikeluarkan, dan 1 USDC untuk setiap darcUSDC yang dikeluarkan, jadi pengguna masih mempunyai semua token yang dibalut tetapi tidak boleh menebusnya lagi.
Masalah dengan token yang dibalut
Selalunya dikatakan bahawa dompet bukan jagaan adalah selamat, jika disimpan dan diselenggara dengan betul, tetapi kadangkala risikonya terletak di hulu.
Sesungguhnya, untuk mana-mana dompet bukan jagaan terdapat sedikit perbezaan dalam menyimpan token asal, seperti USDC, atau token berbalut, seperti darcUSDC.
Walau bagaimanapun, token yang dibalut mempunyai lapisan risiko tambahan. Sebenarnya, jagaan cagaran tidak dilakukan oleh pengguna sendiri pada dompet bukan jagaan mereka, tetapi oleh pengurus token yang dibungkus.
Malah, ini tidak begitu berbeza dengan dompet jagaan, kerana jagaan cagaran dalam beberapa cara bersamaan dengan jagaan token yang dibungkus.
Oleh itu, walaupun dompet pengguna yang memegang token berbalut tidak dilanggar, sekiranya berlaku pelanggaran dompet rizab, pengguna masih boleh kehilangan dana mereka, semata-mata kerana semasa mereka masih mempunyai token yang dibungkus, mereka tidak lagi boleh menebusnya. Nilai sebenar mereka dengan cara ini berkesan menjadi sifar.
Ini sebenarnya terpakai kepada USDC juga, kerana walaupun ia bukan token yang dibungkus, ia adalah stablecoin bercagar, bermakna ia mempunyai rizab sebagai cagaran, yang dipegang dan diuruskan oleh satu entiti (Bulatan).
Kesan ke atas pasaran crypto daripada penggodaman yang berlaku
Kesan ke atas pasaran kripto penggodaman ini hampir sifar, jika kita mengecualikan token yang dibungkus darcWETH dan darcUSDC.
OP, yang merupakan token asli Optimisme, juga tidak mengalami kerugian yang serius, sehinggakan harganya hari ini bergerak sejajar dengan token lain yang serupa.
Kemudian sekali lagi, $455,000 tidaklah begitu banyak, dan pada masa ini pasaran crypto telah membangunkan tabiat pencurian seperti ini pada protokol DeFi.
Lebih-lebih lagi, DeFi bukan mengenai Bitcoin, dan sekarang ini Bitcoin yang menentukan arah aliran dalam pasaran crypto.
Situasi seperti ini hanya berfungsi untuk memberikan pemahaman yang lebih baik tentang risiko yang terlibat apabila menggunakan protokol DeFi, terutamanya apabila ia disembunyikan seperti dalam kes token yang dibalut.
Sesuatu yang lebih buruk telah berlaku pada bulan Mac, apabila didapati bahawa Circle memegang sebahagian besar rizab USDC pada bank Silvergate yang gagal, sehinggakan buat seketika ia dikhuatiri bahawa stablecoin mungkin kehilangan tambatannya dengan dolar.
Tetapi kemudian bank pusat AS campur tangan secara langsung untuk menampung semua kekurangan, dengan itu memberikan semua pendeposit Silvergate kembali semua dana mereka.
Sumber: https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/