Hac crypto newydd ar Ethereum ac Optimistiaeth

Darganfuwyd darnia crypto newydd heddiw: y tro hwn ymosodwyd yn llwyddiannus ar brotocol DeFi Arcadia Finance ar y cadwyni Ethereum ac Optimism.

Torrodd PeckShieldAlert y newyddion ar Twitter, gan adrodd bod yr hac wedi rhwydo tua $455,000 i’r ymosodwyr.

Cadarnhawyd yr hac yn ddiweddarach hefyd gan weithredwyr Arcadia Finance eu hunain.

Rydym yn ymwybodol o gamfanteisio posibl yn ein protocol.
Rydym wedi gohirio’r contractau ac yn ymchwilio i’r achos sylfaenol gydag arbenigwyr diogelwch wrth i ni siarad. Bydd mwy o wybodaeth yn dilyn pan fydd ar gael.
— Arcadia Finance (@ArcadiaFi) Gorffennaf 10, 2023

Ar ôl ychydig oriau, dywedasant eu bod yn gallu cysylltu â'r haciwr, a'u bod yn cydweithio â'u partneriaid diogelwch, gorfodi'r gyfraith, a'r gymuned i ddatrys y broblem orau y gallent mewn ymdrech i adennill arian ar gyfer defnyddwyr protocol.

Y byg a arweiniodd at y darnia crypto

Yn ôl PeckShield, roedd y darnia i gontract smart Arcadia Finance o ganlyniad i ddilysu mewnbwn di-ymddiried yn cael ei ddefnyddio i ddraenio arian o gronfeydd wrth gefn darcWETH a darcUSDC.

Mae darcWETH a darcUSDC yn ddau docyn Arcadia Finance wedi'u lapio, felly mae gan bob un ohonynt gronfeydd wrth gefn.

Yn ddamcaniaethol ar gyfer pob tocyn darcWETH dylai fod tocyn WETH yn y cronfeydd wrth gefn, ac ar gyfer pob tocyn darcUSDC dylai fod tocyn USDC.

Yn amlwg, roedd gan y contract craff sy'n rheoli cronfeydd wrth gefn y ddau docyn lapio hyn fyg y gallai ymosodwyr ei ecsbloetio.

Ar ben hynny, darganfu PeckShield ddiffyg amddiffyniad ail-fynediad yn y contractau smart hyn, a oedd yn y modd hwn yn caniatáu i'r setliad ar unwaith osgoi gwiriad cyflwr mewnol y rheolwr cronfeydd wrth gefn.

Yn ogystal, mae diffyg amddiffyniad rhag dychwelyd, sy'n caniatáu ar gyfer y datodiad ar unwaith i osgoi'r gwiriad iechyd gladdgell mewnol. pic.twitter.com/Am58ZOvgQJ
- PeckShield Inc. (@peckshield) Gorffennaf 10, 2023

A bod yn deg, gwrthbrofodd Arcadia yr ail-greu hwn yn ddiweddarach, ond ni allai roi esboniad arall.

Cafodd y rhan fwyaf o'r arian ei ddwyn o gadwyn Optimism, ac yna cawsant eu symud diolch i Tornado Cash er mwyn colli golwg arnynt.

Protocol Arcadia Finance

Mae Arcadia Finance yn brotocol DeFi ar Ethereum ac Optimistiaeth nad oes ganddo ei docyn brodorol ei hun.

Cyn yr hacio, roedd ei TVL tua $600,000, tra ar ôl y lladrad fe blymiodd i $145,000.

Mae hwn yn brotocol di-garchar sy'n caniatáu ar gyfer cyfansoddiad cyfrifon trawsffiniol ar gadwyn.

Gall defnyddwyr y cyfrifon ymyl hyn gyfochrogu waledi cyfan, cyrchu hyd at 10 gwaith yn fwy o gyfalaf na'u gwerth cyfochrog cychwynnol, a defnyddio'r cyfochrog a adneuwyd a'r cyfalaf a fenthycwyd i ryngweithio ag unrhyw brotocol DeFi arall mewn modd heb ganiatâd.

Mae benthycwyr yn darparu hylifedd i gronfeydd benthyciadau Arcadia, gan ennill enillion goddefol.

Gan eu bod yn ddi-garchar, nid oedd yr hacwyr yn gallu dwyn arian yn uniongyrchol o waledi defnyddwyr, ond yn hytrach o'r rhai a ddefnyddir fel cronfeydd wrth gefn ar gyfer cyhoeddi'r tocynnau lapio darcWETH a darcUSDC.

Felly, ni chafodd unrhyw darcWETH na darcUSDC eu dwyn yn uniongyrchol o waledi defnyddwyr, ond cafodd WETH ac USDC eu dwyn o'r waledi y cadwyd y cronfeydd wrth gefn arnynt. Mae hyn yn golygu nad oes mwyach 1 WETH ar gyfer pob darcWETH a gyhoeddir, ac 1 USDC ar gyfer pob darcUSDC a gyhoeddir, felly i bob pwrpas mae defnyddwyr yn dal i gael eu holl docynnau wedi'u lapio ond ni allant eu hadbrynu mwyach.

Y broblem gyda thocynnau wedi'u lapio

Dywedir yn aml bod waledi di-garchar yn ddiogel, os cânt eu storio a'u cynnal a'u cadw'n iawn, ond weithiau mae'r risgiau i fyny'r afon.

Yn wir, ar gyfer unrhyw waled di-garchar, nid oes llawer o wahaniaeth mewn storio tocynnau gwreiddiol, fel USDC, neu docynnau wedi'u lapio, fel darcUSDC.

Fodd bynnag, mae gan docynnau wedi'u lapio haen ychwanegol o risg. Mewn gwirionedd, nid y defnyddwyr eu hunain ar eu waledi di-garchar sy'n cadw'r cyfochrog, ond gan reolwyr y tocynnau wedi'u lapio.

Mewn gwirionedd, nid yw hyn yn wahanol iawn i waled gwarchodaeth, gan fod cadw'r cyfochrog mewn rhai ffyrdd yn cyfateb i gadw'r tocynnau wedi'u lapio.

Felly hyd yn oed os na chaiff waledi defnyddwyr sy'n dal tocynnau wedi'u lapio eu torri, os bydd y waledi wrth gefn yn cael ei thorri, gall defnyddwyr golli eu harian o hyd, yn syml oherwydd tra bod ganddynt y tocynnau wedi'u lapio, ni allant eu hadbrynu mwyach. Mae eu gwerth gwirioneddol yn y modd hwn i bob pwrpas yn mynd i sero.

Mae hyn mewn gwirionedd yn berthnasol i USDC hefyd, oherwydd er nad yw'n docyn wedi'i lapio, mae'n stabl arian cyfochrog, sy'n golygu bod ganddo gronfeydd wrth gefn fel cyfochrog, sy'n cael ei ddal a'i reoli gan un endid (Cylch).

Yr effaith ar farchnadoedd crypto y darnia a ddigwyddodd

Mae'r effaith ar farchnadoedd crypto'r darn hwn bron yn sero, os ydym yn eithrio'r tocynnau wedi'u lapio darcWETH a darcUSDC.

Nid yw OP, sef tocyn brodorol Optimism, ychwaith wedi dioddef colledion difrifol, cymaint felly fel bod ei bris heddiw wedi symud yn unol â phris llawer o docynnau tebyg eraill.

Yna eto, nid yw $455,000 cymaint â hynny, ac erbyn hyn mae'r marchnadoedd crypto wedi datblygu arferiad o'r math hwn o ddwyn ar brotocolau DeFi.

Ar ben hynny, nid yw DeFi yn ymwneud â Bitcoin, ac ar hyn o bryd Bitcoin sy'n pennu'r duedd yn y marchnadoedd crypto.

Dim ond darparu gwell dealltwriaeth o'r risgiau sy'n gysylltiedig â defnyddio protocolau DeFi yw sefyllfaoedd fel hyn, yn enwedig pan fyddant wedi'u cuddio fel yn achos tocynnau wedi'u lapio.

Roedd rhywbeth llawer gwaeth wedi digwydd ym mis Mawrth, pan ddarganfuwyd bod Circle yn dal cyfran sylweddol o gronfeydd wrth gefn USDC ar y banc Silvergate a fethwyd, cymaint fel ei fod yn ofni am eiliad y gallai'r stablecoin golli ei beg gyda'r ddoler.

Ond yna ymyrrodd banc canolog yr UD yn uniongyrchol i dalu am yr holl ddiffygion, a thrwy hynny roi eu holl arian yn ôl i holl adneuwyr Silvergate.

Ffynhonnell: https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/