今日、新たな暗号ハッキングが発見されました。今回は、イーサリアムとオプティミズムチェーン上の DeFi Arcadia Finance プロトコルが攻撃されることに成功しました。
PeckShieldAlert は Twitter でニュースを発表し、ハッキングにより攻撃者が約 455,000 万 XNUMX ドルの利益を得たと報告しました。
このハッキングは後に Arcadia Finance の運営者自身によっても確認されました。
数時間後、彼らはハッカーと連絡を取ることができ、資金を回収するためにセキュリティパートナー、法執行機関、コミュニティと協力して可能な限り問題を解決していると報告しました。プロトコルのユーザー。
暗号ハッキングを引き起こしたバグ
PeckShield によると、Arcadia Finance のスマート コントラクトへのハッキングは、darcWETH と darcUSDC の準備金から資金を流出させるために、信頼できない入力検証が悪用されたことが原因でした。
darcWETH と darcUSDC は XNUMX つのラップされた Arcadia Finance トークンであるため、それぞれ準備金を保持します。
理論的には、すべての darcWETH トークンに対してリザーブ内に WETH トークンが存在する必要があり、すべての darcUSDC トークンに対して XNUMX つの USDC トークンが存在する必要があります。
明らかに、これら XNUMX つのラップされたトークンのリザーブを管理するスマート コントラクトには、攻撃者が悪用できるバグがありました。
さらに、PeckShield は、これらのスマート コントラクトには再エントリ保護が欠如していることを発見しました。これにより、即時決済が準備金管理者の内部状態チェックを回避できるようになりました。
公平を期すために言うと、アルカディア社は後にこの再構築に反論したが、代替の説明を提供することはできなかった。
資金のほとんどはオプティミズムのチェーンから盗まれ、その後、追跡を失うためにトルネードキャッシュのおかげで移動されました。
Arcadia Finance プロトコル
Arcadia Finance は、独自のネイティブ トークンを持たないイーサリアムとオプティミズム上の DeFi プロトコルです。
ハッキング前の TVL は約 600,000 万ドルでしたが、盗難後は 145,000 万 XNUMX ドルに急落しました。
これは、オンチェーンのクロスマージン口座の構成を可能にする非保管プロトコルです。
これらの証拠金口座のユーザーは、ウォレット全体を担保にして、初期担保価値の最大10倍の資本にアクセスし、預けられた担保と借り入れた資本を使用して、許可のない方法で他のDeFiプロトコルと対話することができます。
貸し手は Arcadia のローンプールに流動性を提供し、受動的な収益を獲得します。
ハッカーは管理者ではないため、ユーザーのウォレットから直接資金を盗むことはできず、ラップされたトークン darcWETH および darcUSDC を発行するための準備金として使用されていたウォレットから資金を盗むことができました。
したがって、darcWETH または darcUSDC がユーザーのウォレットから直接盗まれたことはありませんが、WETH と USDC は準備金が保持されているウォレットから盗まれました。 これは、発行された darcWETH ごとに 1 WETH、発行された darcUSDC ごとに 1 USDC が存在しなくなったことを意味します。したがって、事実上、ユーザーはすべてのラップされたトークンをまだ持っていますが、それらを引き換えることはできなくなります。
ラップされたトークンの問題
非保管ウォレットは、適切に保管および維持されていれば安全であるとよく言われますが、リスクが上流にある場合もあります。
実際、非保管ウォレットの場合、USDC などのオリジナルのトークン、または darcUSDC などのラップされたトークンの保管にほとんど違いはありません。
ただし、ラップされたトークンには追加のリスクがあります。 実際、担保の保管は非保管ウォレット上でユーザー自身によって行われるのではなく、ラップされたトークンの管理者によって行われます。
実際、担保の保管はある意味でラップされたトークンの保管と同等であるため、これは保管ウォレットとあまり変わりません。
したがって、ラップされたトークンを保持しているユーザーのウォレットが侵害されていない場合でも、リザーブウォレットが侵害された場合、ユーザーは依然として資金を失う可能性があります。これは単に、ラップされたトークンをまだ持っている間はそれを引き換えることができないためです。 このようにして実際の値は事実上ゼロになります。
これは実際にはUSDCにも当てはまります。なぜなら、これはラップされたトークンではありませんが、担保付きのステーブルコインであるためです。つまり、担保として準備金があり、単一のエンティティ(サークル)によって保持および管理されています。
発生したハッキングによる仮想通貨市場への影響
ラップされたトークン darcWETH と darcUSDC を除けば、このハッキングが暗号通貨市場に与える影響はほぼゼロです。
OptimismのネイティブトークンであるOPも深刻な損失を被っておらず、そのため今日の価格は他の多くの同様のトークンの価格と一致しています。
繰り返しになりますが、455,000ドルはそれほど多くはなく、今では仮想通貨市場ではDeFiプロトコルでこの種の盗難が習慣化しています。
さらに、DeFi はビットコインに関するものではなく、現在、暗号通貨市場のトレンドを左右しているのはビットコインです。
このような状況は、特にラップされたトークンの場合のように、DeFi プロトコルが隠されている場合に、DeFi プロトコルを使用する際に伴うリスクをより深く理解するのに役立ちます。
XNUMX月にはさらに悪いことが起こり、サークルが破綻したシルバーゲート銀行のUSDC準備金のかなりの部分を保有していることが判明し、一時はステーブルコインがドルとのペッグを失うのではないかと懸念されたほどだった。
しかしその後、米国中央銀行が不足分を補うために直接介入し、シルバーゲートのすべての預金者に資金を全額返還した。
出典: https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/