Arcadia Finance Hacker použil reentrancy Exploit, tým požaduje vrácení prostředků

Útočník Arcadia Finance použil reentrancy exploit k odčerpání 455 000 dolarů z protokolu decentralizovaných financí (DeFi), podle posmrtné zprávy vydané 10. července vývojovým týmem aplikace. „Zneužití opětovného vstupu“ je chyba, která umožňuje útočníkovi „znovu zadat“ smlouvu nebo ji přerušit během vícefázového procesu, což brání správnému dokončení procesu.
Tým poslal útočníkovi zprávu požadující vrácení peněz do 24 hodin a pohrozil policejním zásahem, pokud hacker nevyhoví.
Arcadia Finance byla zneužita ráno 10. července a vyčerpána kryptoměna v hodnotě 455 000 $. Předběžná zpráva od blockchainové bezpečnostní firmy PeckShield uvedla, že útočník použil „nedostatek nedůvěryhodného ověření vstupu“ ve smlouvách aplikace k vyčerpání finančních prostředků. Tým Arcadia to popřel a uvedl, že analýza PeckShield byla chybná. Tým však nevysvětlil, co si tehdy myslel, že byla příčina.
Nová zpráva Arcadia uvedla, že funkce aplikace „liquidateVault()“ neobsahovala kontrolu opětovného vstupu. To útočníkovi umožnilo zavolat funkci před dokončením kontroly stavu, ale poté, co útočník vybral prostředky. V důsledku toho si útočník mohl půjčit finanční prostředky a nesplatit je zpět, čímž by je vyčerpal z protokolu.
Tým nyní pozastavil smlouvy a pracuje na opravě, která tuto mezeru zacelí.
Útočník si nejprve vzal bleskovou půjčku od Aave v hodnotě 20 672 USD v USD Coin (USDC) a uložil ji do trezoru Arcadia. Poté hacker použil toto zajištění k zapůjčení 103 210 USDC z fondu likvidity Arcadia. Toho bylo dosaženo pomocí funkce „doActionWithLeverage()“, která uživatelům umožňuje půjčovat si finanční prostředky pouze v případě, že jejich účet může zůstat zdravý do konce blokování.
Útočník vložil 103 210 $ do trezoru, čímž se celkové prostředky zvýšily na 123 882 $. Hacker poté stáhl všechny prostředky, takže trezor zůstal bez majetku a dluhu ve výši 103 210 dolarů.
Teoreticky by to mělo způsobit, že se všechny akce vrátí zpět, protože výběr prostředků měl způsobit, že účet neprošel kontrolou stavu. Útočník však použil škodlivý kontrakt k volání liquidateVault() před tím, než mohla začít kontrola stavu. Trezor byl zlikvidován, čímž byly odstraněny všechny jeho dluhy. V důsledku toho zůstala s nulovými aktivy a nulovými závazky, což jí umožnilo projít kontrolou stavu.
Protože účet prošel kontrolou stavu po uzavření všech transakcí, žádná z transakcí se nevrátila a fond byl vyčerpán o 103 210 USD. Útočník splatil půjčku od Aave ve stejném bloku. Hacker opakoval tento exploit několikrát a odčerpal celkem 455 000 $ z fondů na Optimism a Ethereum.
Ve své zprávě tým Arcadie odmítl tvrzení, že zneužití bylo způsobeno nedůvěryhodným vstupem, a uvedl, že tato údajná zranitelnost nebyla „hlavním problémem“ útoku.
Tým Arcadia zaslal útočníkovi zprávu pomocí vstupního datového pole transakce Optimism:
„Chápeme, že jste zapojeni do zneužití Arcadia Finance. Aktivně spolupracujeme s bezpečnostními experty a orgány činnými v trestním řízení. Vaše vklady a výběry TC na BNB byly příliš rychlé, v dnešní době je těžké skrýt svou identitu online. Pokud během následujících 24 hodin nebudou vráceny žádné prostředky, budeme to eskalovat s orgány činnými v trestním řízení.“
Arcadia ve své zprávě tvrdila, že našla nějaké slibné stopy pro vystopování útočníka. „Kromě získání adres spojených s centralizovanými burzami jsme také odhalili odkazy na předchozí exploity jiných protokolů,“ uvádí zpráva. "Tým zkoumá data v řetězci i mimo něj v plném rozsahu a má několik potenciálních zákazníků."
Vykořisťování a podvody byly v roce 2023 přetrvávajícím problémem v prostoru DeFi. Zpráva společnosti CertiK z 5. července uvedla, že kvůli exploitům ve druhém čtvrtletí roku bylo ztraceno více než 300 milionů dolarů.