Hacker de Arcadia Finance utilizó un exploit de reentrada y el equipo exige la devolución de fondos

El atacante de Arcadia Finance utilizó un exploit de reentrada para extraer 455.000 dólares del protocolo de finanzas descentralizadas (DeFi), según un informe posterior al 10 de julio emitido por el equipo de desarrollo de la aplicación. Un "exploit de reentrada" es un error que permite a un atacante "reingresar" a un contrato o interrumpirlo durante un proceso de varios pasos, impidiendo que el proceso se complete correctamente.
El equipo envió un mensaje al atacante exigiendo la devolución de los fondos en un plazo de 24 horas y amenazando con tomar medidas policiales si el pirata informático no cumple.
Arcadia Finance fue atacada en la mañana del 10 de julio y se le robaron 455.000 dólares en criptomonedas. Un informe preliminar de la empresa de seguridad blockchain PeckShield afirmó que el atacante había utilizado una “falta de validación de entrada no confiable” en los contratos de la aplicación para drenar los fondos. El equipo de Arcadia lo negó, afirmando que el análisis de PeckShield era erróneo. Sin embargo, el equipo no explicó cuál creía que era la causa en ese momento.
El nuevo informe de Arcadia indicó que la función “liquidateVault()” de la aplicación no contenía una comprobación de reentrada. Esto permitió al atacante llamar a la función antes de que se completara una comprobación de estado, pero después de que el atacante hubiera retirado los fondos. Como resultado, el atacante podía pedir prestados fondos y no devolverlos, drenándolos del protocolo.
El equipo ahora ha pausado los contratos y está trabajando en un parche para cerrar la laguna.
El atacante primero tomó un préstamo flash de Aave por $20,672 en USD Coin (USDC) y lo depositó en una bóveda de Arcadia. Luego, el hacker usó esta garantía de la bóveda para tomar prestados $103,210 USDC de un fondo de liquidez de Arcadia. Esto se logró a través de una función "doActionWithLeverage()" que permite a los usuarios tomar prestados fondos solo si su cuenta puede permanecer en buen estado al final del bloque.
El atacante depositó los 103.210 dólares en la bóveda, con lo que el total de fondos ascendió a 123.882 dólares. A continuación, el pirata informático retiró todos los fondos, dejando la bóveda sin activos y con una deuda de 103.210 dólares.
En teoría, esto debería haber provocado que se revirtieran todas las acciones, ya que retirar los fondos debería haber provocado que la cuenta no pasara la verificación de estado. Sin embargo, el atacante utilizó un contrato malicioso para llamar a liquidateVault() antes de que pudiera comenzar la verificación de estado. La bóveda se liquidó, eliminando todas sus deudas. Como resultado, quedó con cero activos y cero pasivos, lo que le permitió pasar la verificación de estado.
Dado que la cuenta pasó la verificación de estado después de que se concluyeron todas las transacciones, ninguna de las transacciones se revirtió y el fondo perdió $103,210. El atacante pagó el préstamo de Aave dentro del mismo bloque. El hacker repitió esta vulnerabilidad varias veces, drenando un total de $455,000 de los fondos en Optimism y Ethereum.
En su informe, el equipo de Arcadia rechazó las afirmaciones de que el exploit fue causado por una entrada no confiable, afirmando que esta supuesta vulnerabilidad no era “el problema central” del ataque.
El equipo de Arcadia publicó un mensaje para el atacante utilizando el campo de datos de entrada de una transacción de Optimism, indicando:
“Entendemos que está involucrado en el exploit de Arcadia Finance. Estamos trabajando activamente con expertos en seguridad y las fuerzas del orden. Sus depósitos y retiros de TC en BNB fueron demasiado rápidos; es difícil ocultar su identidad en línea en estos días. Escalaremos esto con las fuerzas del orden en caso de que no se devuelvan fondos en las próximas 24 horas”.
En su informe, Arcadia afirmó haber encontrado algunas pistas prometedoras para rastrear al atacante. “Además de obtener direcciones vinculadas a intercambios centralizados, también descubrimos vínculos a exploits anteriores de otros protocolos”, decía el informe. “El equipo está investigando tanto los datos dentro como fuera de la cadena al máximo y tiene múltiples pistas”.
Los exploits y las estafas han sido un problema constante en el espacio DeFi en 2023. Un informe del 5 de julio de CertiK afirmó que se perdieron más de 300 millones de dólares debido a exploits en el segundo trimestre del año.