Злоумышленник Arcadia Finance использовал эксплойт повторного входа, чтобы вывести 455 000 долларов из протокола децентрализованных финансов (DeFi), согласно отчету о вскрытии от 10 июля, опубликованному командой разработчиков приложения. «Реентерабельный эксплойт» — это ошибка, которая позволяет злоумышленнику «повторно ввести» контракт или прервать его во время многоэтапного процесса, препятствуя правильному завершению процесса.
Команда отправила злоумышленнику сообщение с требованием вернуть средства в течение 24 часов и пригрозила действиями полиции, если они не подчинятся.
Post Mortem of ongoing situation, providing a technical overview and sharing more information on next steps.https://t.co/NPNbbSzKBQ
— Arcadia Finance (@ArcadiaFi) July 10, 2023
Arcadia Finance была взломана утром 10 июля и украла криптовалюту на сумму 455 000 долларов. В предварительном отчете компании по безопасности блокчейна Peckshield говорится, что злоумышленник использовал «отсутствие ненадежной проверки ввода» в контрактах приложения для вывода средств. Команда Аркадии опровергла это, заявив, что анализ Пекшилда был ошибочным. Однако в то время команда не объяснила, в чем, по их мнению, была причина.
В новом отчете Arcadia говорится, что функция приложения «liquidateVault()» не содержит проверки повторного входа. Это позволило злоумышленнику вызвать функцию до завершения проверки работоспособности, но после того, как злоумышленник вывел средства. В результате злоумышленник мог занять средства и не вернуть их, выведя их из протокола.
В настоящее время команда приостановила контракты и работает над патчем, чтобы закрыть лазейку.
Злоумышленник сначала взял мгновенный кредит от Aave на сумму 20 672 долларов США в монетах доллара США (USDC) и поместил их в хранилище Arcadia. Затем они использовали это залоговое хранилище, чтобы занять 103 210 долларов США из пула ликвидности Arcadia. Это было достигнуто с помощью функции «doActionWithLeverage()», которая позволяет пользователям занимать средства только в том случае, если их учетная запись может оставаться работоспособной к концу блока.
Злоумышленник положил 103 210 долларов в хранилище, в результате чего общая сумма средств составила 123 882 доллара. Затем они сняли все средства, оставив хранилище без активов и 103 210 долларов долга.
Теоретически это должно было привести к отмене всех действий, поскольку снятие средств должно было привести к тому, что учетная запись не прошла проверку работоспособности. Однако злоумышленник использовал вредоносный контракт для вызова метода LiquidateVault() до того, как можно было начать проверку работоспособности. Хранилище было ликвидировано, что погасило все его долги. В результате он остался с нулевыми активами и нулевыми обязательствами, что позволило ему пройти проверку работоспособности.
Поскольку учетная запись прошла проверку работоспособности после завершения всех транзакций, ни одна из транзакций не была отменена, а пул был истощен на 103 210 долларов. Злоумышленник вернул кредит от Aave в том же блоке. Они повторили этот эксплойт несколько раз, сняв в общей сложности 455 000 долларов из пулов Optimism и Ethereum.
В своем отчете команда Arcadia отвергла утверждения о том, что эксплойт был вызван недостоверными данными, заявив, что эта предполагаемая уязвимость не была «основной проблемой» атаки.
Связанный: Circle, Tether замораживает активы на сумму более 65 миллионов долларов, переведенные из Multichain
Команда Arcadia отправила злоумышленнику сообщение, используя поле входных данных транзакции Optimism, в котором говорилось:
«Мы понимаем, что вы причастны к эксплойту Arcadia Finance. Мы активно сотрудничаем с экспертами по безопасности и правоохранительными органами. Ваши депозиты и снятие средств TC на BNB были слишком быстрыми, в наши дни трудно скрыть свою личность в Интернете. Мы сообщим об этом правоохранительным органам, если средства не будут возвращены в течение следующих 24 часов».
В своем отчете Arcadia заявила, что нашла многообещающие зацепки для отслеживания злоумышленника. «Помимо получения адресов, связанных с централизованными биржами, мы также обнаружили ссылки на предыдущие эксплойты других протоколов», — сказали они. «Команда в полной мере исследует данные как в сети, так и за ее пределами, и у нее есть несколько зацепок».
Эксплойты и мошенничество были постоянной проблемой в пространстве DeFi в 2023 году. В отчете Certik от 5 июля говорится, что из-за эксплойтов во втором квартале года было потеряно более 300 миллионов долларов.
