Зловмисник Arcadia Finance використав експлойт повторного входу, щоб викачати 455 000 доларів із протоколу децентралізованих фінансів (DeFi), згідно зі звітом від 10 липня, виданим командою розробників програми. «Експлойт повторного входу» — це помилка, яка дозволяє зловмиснику «повторно ввести» контракт або перервати його під час багатоетапного процесу, перешкоджаючи правильному завершенню процесу.
Команда надіслала зловмиснику повідомлення з вимогою повернути кошти протягом 24 годин і погрожувала діями поліції, якщо вони не виконають вимоги.
Post Mortem of ongoing situation, providing a technical overview and sharing more information on next steps.https://t.co/NPNbbSzKBQ
— Arcadia Finance (@ArcadiaFi) July 10, 2023
Arcadia Finance було використано вранці 10 липня та злито криптовалюти на суму 455 000 доларів. У попередньому звіті фірми з безпеки блокчейнів Peckshield стверджується, що зловмисник використовував «відсутність ненадійної перевірки введення» в контрактах програми, щоб викачати кошти. Команда Arcadia спростувала це, заявивши, що аналіз Пекшилда був помилковим. Однак команда не пояснила, що, на їхню думку, було причиною на той момент.
У новому звіті Arcadia зазначено, що функція liquidateVault() програми не містить перевірки повторного входу. Це дозволило зловмиснику викликати функцію до завершення перевірки працездатності, але після того, як зловмисник зняв кошти. В результаті зловмисник міг позичити кошти і не повертати їх, виливаючи їх з протоколу.
Зараз команда призупинила дію контрактів і працює над виправленням, щоб усунути лазівку.
Зловмисник спочатку взяв у Aave термінову позику на суму 20 672 доларів США в доларах США (USDC) і поклав їх у сховище Arcadia. Потім вони використали цю заставу сховища, щоб позичити 103 210 доларів США з пулу ліквідності Arcadia. Це було досягнуто за допомогою функції “doActionWithLeverage()”, яка дозволяє користувачам позичати кошти, лише якщо їхній обліковий запис може залишатися здоровим до кінця блокування.
Зловмисник поклав 103 210 доларів у сховище, довівши загальну суму до 123 882 доларів. Потім вони вилучили всі кошти, залишивши сховище без активів і 103 210 доларів боргу.
Теоретично, це мало призвести до скасування всіх дій, оскільки зняття коштів мало призвести до того, що обліковий запис не пройшов перевірку справності. Однак зловмисник використав зловмисний контракт для виклику liquidateVault() до початку перевірки працездатності. Сховище було ліквідовано, списані всі борги. У результаті він залишився з нульовими активами та нульовими зобов’язаннями, що дозволило йому пройти перевірку стану здоров’я.
Оскільки обліковий запис пройшов перевірку стану після завершення всіх транзакцій, жодна з транзакцій не була скасована, і з пулу було вичерпано 103 210 доларів США. Зловмисник повернув позику від Aave в тому ж блоці. Вони повторили цей експлойт кілька разів, витягнувши загалом 455 000 доларів із пулів на Optimism та Ethereum.
У своєму звіті команда Arcadia відкинула твердження про те, що експлойт був спричинений недовіреним введенням, заявивши, що ця передбачувана вразливість не була «основною проблемою» атаки.
За темою: Circle, Tether заморожує понад 65 мільйонів доларів США в активах, переданих із Multichain
Команда Arcadia опублікувала повідомлення для зловмисника, використовуючи поле вхідних даних транзакції Optimism, у якому зазначено:
«Ми розуміємо, що ви причетні до експлойту Arcadia Finance. Ми активно співпрацюємо з експертами з безпеки та правоохоронними органами. Ваші TC депозити та зняття з BNB були надто швидкими, сьогодні важко приховати свою особу в Інтернеті. Ми передамо це питання правоохоронним органам, якщо протягом наступних 24 годин не буде повернено жодних коштів».
У своєму звіті Arcadia стверджує, що знайшла багатообіцяючі підказки для відстеження зловмисника. «Крім отримання адрес, пов’язаних із централізованими біржами, ми також виявили посилання на попередні експлойти інших протоколів», — сказали вони. «Команда досліджує дані як у ланцюзі, так і поза ним у повному обсязі та має багато потенційних клієнтів».
Експлойти та шахрайство залишаються проблемою DeFi у 2023 році. У звіті Certik від 5 липня зазначено, що через експлойти у другому кварталі року було втрачено понад 300 мільйонів доларів.
