هک جدید ارز دیجیتال اتریوم و Optimism

امروز یک هک کریپتو جدید کشف شد: این بار پروتکل DeFi Arcadia Finance در زنجیره اتریوم و Optimism با موفقیت مورد حمله قرار گرفت.

PeckShieldAlert این خبر را در توییتر منتشر کرد و گزارش داد که این هک حدود 455,000 دلار برای مهاجمان به ارمغان آورده است.

این هک بعداً توسط خود اپراتورهای Arcadia Finance نیز تأیید شد.

ما از یک سوء استفاده بالقوه در پروتکل خود آگاه هستیم.
ما قراردادها را متوقف کرده ایم و در حال بررسی علت اصلی با کارشناسان امنیتی هستیم. اطلاعات بیشتر به محض در دسترس قرار گرفتن در ادامه خواهد آمد.
— Arcadia Finance (@ArcadiaFi) ژوئیه 10، 2023

پس از چند ساعت، آنها گزارش دادند که توانسته اند با هکر ارتباط برقرار کنند و با شرکای امنیتی خود، مجریان قانون و جامعه همکاری می کنند تا مشکل را به بهترین شکل ممکن حل کنند و در تلاش برای بازیابی وجوه برای کاربران پروتکل

اشکالی که منجر به هک کریپتو شد

به گفته PeckShield، هک قرارداد هوشمند Arcadia Finance به دلیل استفاده از اعتبارسنجی ورودی نامعتبر برای تخلیه وجوه از ذخایر darcWETH و darcUSDC بود.

darcWETH و darcUSDC دو توکن Arcadia Finance هستند، بنابراین هر کدام ذخایری دارند.

از نظر تئوری برای هر توکن darcWETH باید یک توکن WETH در ذخایر وجود داشته باشد و برای هر توکن darcUSDC باید یک توکن USDC وجود داشته باشد.

بدیهی است که قرارداد هوشمندی که ذخایر این دو توکن پیچیده را مدیریت می‌کند دارای یک اشکال بود که مهاجمان می‌توانستند از آن سوء استفاده کنند.

علاوه بر این، PeckShield عدم حفاظت از ورود مجدد را در این قراردادهای هوشمند کشف کرد که به این ترتیب به تسویه فوری اجازه می‌داد تا از بررسی وضعیت داخلی مدیر ذخیره عبور کند.

علاوه بر این، فقدان حفاظت از ورود مجدد وجود دارد، که به انحلال فوری اجازه می دهد تا بررسی سلامت صندوق داخلی را دور بزند. pic.twitter.com/Am58ZOvgQJ
- شرکت PeckShield (peckshield) ژوئیه 10، 2023

اگر منصف باشیم، آرکادیا بعداً این بازسازی را رد کرد، اما نتوانست توضیح دیگری ارائه دهد.

بیشتر وجوه از زنجیره Optimism دزدیده شد و سپس به لطف تورنادو کش منتقل شد تا رد آنها از بین برود.

پروتکل آرکادیا فاینانس

Arcadia Finance یک پروتکل DeFi بر روی اتریوم و Optimism است که توکن بومی خود را ندارد.

قبل از هک، TVL آن حدود 600,000 دلار بود، در حالی که پس از سرقت به 145,000 دلار کاهش یافت.

این یک پروتکل غیر حضانت است که امکان ترکیب حساب‌های بین زنجیره‌ای را فراهم می‌کند.

کاربران این حساب‌های مارجین می‌توانند کل کیف‌پول‌ها را وثیقه کنند، تا ۱۰ برابر بیشتر از ارزش وثیقه اولیه خود به سرمایه دسترسی داشته باشند و از وثیقه سپرده‌گذاری شده و سرمایه قرض‌گرفته‌شده برای تعامل با هر پروتکل دی‌فای دیگر به‌صورت بدون مجوز استفاده کنند.

وام دهندگان نقدینگی را برای استخرهای وام آرکادیا فراهم می کنند و بازدهی غیرفعال به دست می آورند.

هکرها به دلیل غیرقانونی بودن، قادر به سرقت مستقیم وجوه از کیف‌پول‌های کاربران نبودند، بلکه می‌توانستند از کیف پول‌هایی که به عنوان ذخیره برای صدور توکن‌های پیچیده‌شده darcWETH و darcUSDC استفاده می‌شد، سرقت کنند.

بنابراین، هیچ darcWETH یا darcUSDC مستقیماً از کیف پول کاربران دزدیده نشد، اما WETH و USDC از کیف پول هایی که ذخایر در آن نگهداری می شد به سرقت رفتند. این بدان معنی است که دیگر 1 WETH برای هر darcWETH صادر شده، و 1 USDC برای هر darcUSDC صادر شده وجود ندارد، بنابراین به طور موثر کاربران هنوز همه توکن های بسته بندی شده خود را دارند اما دیگر نمی توانند آنها را بازخرید کنند.

مشکل توکن های پیچیده شده

اغلب گفته می شود که کیف پول های غیر حضانت، اگر به درستی ذخیره و نگهداری شوند، ایمن هستند، اما گاهی اوقات خطرات در بالادست است.

در واقع، برای هر کیف پول غیر حافظی تفاوت کمی در ذخیره توکن های اصلی، مانند USDC، یا توکن های بسته بندی شده، مانند darcUSDC وجود دارد.

با این حال، توکن های پیچیده دارای یک لایه خطر اضافی هستند. در واقع نگهداری وثیقه توسط خود کاربران بر روی کیف پول های غیر حافظ آنها انجام نمی شود، بلکه توسط مدیران توکن های بسته بندی شده انجام می شود.

در واقع، این تفاوت چندانی با کیف پول نگهبانی ندارد، زیرا حضانت وثیقه از برخی جهات معادل حضانت توکن های بسته بندی شده است.

بنابراین حتی اگر کیف‌پول‌های کاربرانی که توکن‌های بسته‌بندی شده دارند، نقض نشود، در صورت نقض کیف‌پول‌های ذخیره، کاربران همچنان می‌توانند وجوه خود را از دست بدهند، فقط به این دلیل که در حالی که هنوز توکن‌های بسته‌بندی شده را دارند، دیگر نمی‌توانند آن‌ها را بازخرید کنند. ارزش واقعی آنها در این روش به طور موثر به صفر می رسد.

این در واقع برای USDC نیز صدق می کند، زیرا در حالی که یک توکن پیچیده نیست، یک استیبل کوین وثیقه است، به این معنی که دارای ذخایری به عنوان وثیقه است که توسط یک نهاد واحد (Circle) نگهداری و مدیریت می شود.

تاثیر هک روی بازارهای رمزنگاری

تأثیر این هک روی بازارهای رمزنگاری تقریباً صفر بوده است، اگر توکن‌های پیچیده‌شده darcWETH و darcUSDC را کنار بگذاریم.

OP، که توکن بومی Optimism است، نیز متحمل ضرر جدی نشده است، به طوری که قیمت آن امروز مطابق با قیمت بسیاری از توکن های مشابه دیگر حرکت کرد.

سپس دوباره، 455,000 دلار آنقدر نیست، و تا به حال بازارهای رمزنگاری عادت به این نوع سرقت در پروتکل های DeFi را ایجاد کرده اند.

علاوه بر این، DeFi در مورد بیت کوین نیست و در حال حاضر این بیت کوین است که روند بازارهای کریپتو را دیکته می کند.

موقعیت‌هایی مانند این فقط برای ارائه درک بهتری از خطرات موجود در هنگام استفاده از پروتکل‌های DeFi، به خصوص زمانی که آنها پنهان هستند، مانند توکن‌های پیچیده شده، مفید هستند.

اتفاق بسیار بدتری در ماه مارس رخ داده بود، زمانی که مشخص شد Circle بخش قابل توجهی از ذخایر USDC را در بانک ورشکسته Silvergate در اختیار دارد، به طوری که برای لحظه ای بیم آن می رفت که استیبل کوین ممکن است پیوند خود را با دلار از دست بدهد.

اما پس از آن بانک مرکزی ایالات متحده مستقیماً برای پوشش تمام کسری ها مداخله کرد و بدین وسیله به تمام سپرده گذاران Silvergate تمام وجوه خود را پس داد.

منبع: https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/