Hacker von Arcadia Finance nutzt Reentrancy Exploit, Team fordert Rückgabe der Gelder

Der Angreifer von Arcadia Finance nutzte einen Reentrancy Exploit, um 455.000 US-Dollar aus dem dezentralisierten Finanzprotokoll (DeFi) abzuschöpfen, wie aus einem Post-Mortem-Bericht des Entwicklungsteams der App vom 10. Juli hervorgeht. Ein „Reentrancy Exploit“ ist ein Fehler, der es einem Angreifer ermöglicht, einen Vertrag „erneut zu betreten“ oder ihn während eines mehrstufigen Prozesses zu unterbrechen, wodurch verhindert wird, dass der Prozess korrekt abgeschlossen wird.
Das Team hat dem Angreifer eine Nachricht geschickt, in der es die Rückgabe des Geldes innerhalb von 24 Stunden fordert und mit polizeilichen Maßnahmen droht, falls der Hacker seiner Verpflichtung nicht nachkommt.
Arcadia Finance wurde am Morgen des 10. Juli ausgenutzt und Kryptowährungen im Wert von 455.000 US-Dollar wurden abgezogen. In einem vorläufigen Bericht des Blockchain-Sicherheitsunternehmens PeckShield hieß es, der Angreifer habe einen „Mangel an nicht vertrauenswürdiger Eingabevalidierung“ in den Verträgen der App ausgenutzt, um die Gelder abzuschöpfen. Das Arcadia-Team hatte dies bestritten und erklärt, dass die Analyse von PeckShield falsch sei. Das Team erklärte jedoch nicht, was seiner Meinung nach die Ursache war.
Der neue Arcadia-Bericht besagt, dass die Funktion „liquidateVault()“ der App keine Wiedereintrittsprüfung enthielt. Dies ermöglichte es dem Angreifer, die Funktion aufzurufen, bevor eine Integritätsprüfung abgeschlossen war, aber nachdem der Angreifer Geld abgehoben hatte. Infolgedessen konnte der Angreifer Geld leihen und es nicht zurückzahlen, wodurch es aus dem Protokoll abgezogen wurde.
Das Team hat die Verträge inzwischen pausiert und arbeitet an einem Patch, um die Lücke zu schließen.
Der Angreifer nahm zunächst einen Blitzkredit von Aave in Höhe von 20.672 USD in USD Coin (USDC) auf und hinterlegte ihn in einem Arcadia-Tresor. Anschließend nutzte der Hacker diese Tresorsicherheit, um 103.210 USDC aus einem Arcadia-Liquiditätspool zu leihen. Dies wurde durch eine „doActionWithLeverage()“-Funktion erreicht, die es Benutzern nur dann ermöglicht, Geld zu leihen, wenn ihr Konto bis zum Ende des Blocks gesund bleibt.
Der Angreifer zahlte die 103.210 Dollar in den Tresor ein, wodurch sich der Gesamtbetrag auf 123.882 Dollar belief. Anschließend hob der Hacker das gesamte Geld ab, sodass der Tresor leer war und Schulden in Höhe von 103.210 Dollar entstanden.
Theoretisch hätte dies dazu führen müssen, dass alle Aktionen rückgängig gemacht werden, da das Abheben der Gelder dazu hätte führen müssen, dass das Konto eine Integritätsprüfung nicht besteht. Der Angreifer verwendete jedoch einen bösartigen Vertrag, um liquidateVault() aufzurufen, bevor die Integritätsprüfung beginnen konnte. Der Tresor wurde liquidiert, wodurch alle seine Schulden beseitigt wurden. Infolgedessen blieben weder Vermögenswerte noch Verbindlichkeiten übrig, sodass er die Integritätsprüfung bestand.
Da das Konto den Gesundheitscheck nach Abschluss aller Transaktionen bestanden hatte, wurde keine der Transaktionen rückgängig gemacht und der Pool wurde um 103.210 USD geleert. Der Angreifer zahlte das Darlehen von Aave innerhalb desselben Blocks zurück. Der Hacker wiederholte diesen Exploit mehrmals und zog insgesamt 455.000 USD aus den Pools von Optimism und Ethereum ab.
Das Team von Arcadia wies in seinem Bericht die Behauptung zurück, der Exploit sei durch nicht vertrauenswürdige Eingaben verursacht worden, und gab an, dass diese angebliche Schwachstelle nicht „das Kernproblem“ des Angriffs gewesen sei.
Das Arcadia-Team postete unter Verwendung des Eingabedatenfelds einer Optimism-Transaktion eine Nachricht an den Angreifer, in der es hieß:
„Wir haben erfahren, dass Sie an der Exploit-Attacke von Arcadia Finance beteiligt sind. Wir arbeiten aktiv mit Sicherheitsexperten und der Strafverfolgung zusammen. Ihre TC-Einzahlungen und -Abhebungen auf BNB waren etwas zu schnell, es ist heutzutage schwierig, seine Identität online zu verbergen. Wir werden die Angelegenheit an die Strafverfolgungsbehörden weiterleiten, wenn innerhalb der nächsten 24 Stunden keine Gelder zurückgezahlt werden.“
In seinem Bericht behauptete Arcadia, es habe einige vielversprechende Hinweise gefunden, um den Angreifer aufzuspüren. „Neben der Beschaffung von Adressen, die mit zentralisierten Börsen verknüpft sind, haben wir auch Links zu früheren Exploits anderer Protokolle aufgedeckt“, heißt es in dem Bericht. „Das Team untersucht sowohl On-Chain- als auch Off-Chain-Daten in vollem Umfang und hat mehrere Hinweise.“
Exploits und Betrug werden im DeFi-Bereich auch im Jahr 2023 ein anhaltendes Problem sein. In einem Bericht von CertiK vom 5. Juli heißt es, dass im zweiten Quartal des Jahres über 300 Millionen US-Dollar durch Exploits verloren gingen.