Хакер Arcadia Finance использовал эксплойт Reentrancy, команда требует возврата средств

Согласно отчету о вскрытии, опубликованному командой разработчиков приложения от 10 июля, злоумышленник Arcadia Finance использовал эксплойт повторного входа, чтобы вывести 455 000 долларов США из протокола децентрализованного финансирования (DeFi). «Эксплойт повторного входа» — это ошибка, которая позволяет злоумышленнику «повторно ввести» контракт или прервать его во время многоэтапного процесса, препятствуя правильному завершению процесса.
Команда отправила злоумышленнику сообщение с требованием вернуть средства в течение 24 часов и угрозой действий полиции, если хакер не подчинится.
Утром 10 июля Arcadia Finance была взломана и украла криптовалюту на сумму 455 000 долларов. В предварительном отчете компании PeckShield, занимающейся безопасностью блокчейнов, говорится, что злоумышленник использовал «отсутствие ненадежной проверки ввода» в контрактах приложения для выкачивания средств. Команда «Аркадии» это опровергла, заявив, что анализ ПекШилда ошибочен. Однако в то время команда не объяснила, в чем, по ее мнению, была причина.
В новом отчете Arcadia говорится, что функция приложения «liquidateVault()» не содержит проверки повторного входа. Это позволило злоумышленнику вызвать функцию до завершения проверки работоспособности, но после того, как злоумышленник вывел средства. В результате злоумышленник мог занять средства и не вернуть их, сливая их из протокола.
Сейчас команда приостановила действие контрактов и работает над патчем, который закроет лазейку.
Злоумышленник сначала взял кредит у Aave на сумму 20 672 доллара США (USDC) и поместил его в хранилище Arcadia. Затем хакер использовал это обеспечение хранилища, чтобы занять 103 210 долларов США из пула ликвидности Arcadia. Это было достигнуто с помощью функции doActionWithLeverage(), которая позволяет пользователям занимать средства только в том случае, если их учетная запись останется работоспособной к концу блока.
Злоумышленник положил в хранилище 103 210 долларов, в результате чего общая сумма средств составила 123 882 доллара. Затем хакер забрал все средства, оставив хранилище без активов и с долгом в 103 210 долларов.
Теоретически это должно было привести к отмене всех действий, поскольку снятие средств должно было привести к тому, что учетная запись не прошла проверку работоспособности. Однако злоумышленник использовал вредоносный контракт для вызова LiquidateVault() до начала проверки работоспособности. Хранилище было ликвидировано, погасив все его долги. В результате у него осталось ноль активов и нулевых обязательств, что позволило ему пройти проверку работоспособности.
Поскольку учетная запись прошла проверку работоспособности после завершения всех транзакций, ни одна из транзакций не была отменена, и пул был опустошен на сумму 103 210 долларов США. В этом же квартале злоумышленник погасил кредит у Aave. Хакер повторил этот эксплойт несколько раз, выкачав в общей сложности $455 000 из пулов Optimism и Ethereum.
В своем отчете команда Arcadia опровергла утверждения о том, что эксплойт был вызван ненадежными входными данными, заявив, что эта предполагаемая уязвимость не была «основной проблемой» атаки.
Команда Arcadia разместила злоумышленнику сообщение, используя поле входных данных транзакции Optimism, в котором говорилось:
«Мы понимаем, что вы причастны к эксплойту Arcadia Finance. Мы активно работаем с экспертами по безопасности и правоохранительными органами. Ваши депозиты и выводы TC в BNB были слишком быстрыми, в наши дни трудно скрыть свою личность в Интернете. Мы передадим этот вопрос правоохранительным органам, если в течение следующих 24 часов средства не будут возвращены».
В своем отчете Arcadia заявила, что нашла многообещающие возможности для отслеживания злоумышленника. «Помимо получения адресов, связанных с централизованными биржами, мы также обнаружили связи с предыдущими эксплойтами других протоколов», — говорится в отчете. «Команда в полной мере исследует как внутрисетевые, так и внесетевые данные и имеет несколько потенциальных клиентов».
Эксплойты и мошенничество оставались постоянной проблемой в сфере DeFi в 2023 году. В отчете CertiK от 5 июля говорится, что во втором квартале из-за эксплойтов было потеряно более 300 миллионов долларов.