تم اكتشاف اختراق جديد للعملات المشفرة اليوم: هذه المرة تمت مهاجمة بروتوكول DeFi Arcadia Finance على سلاسل Ethereum and Optimism بنجاح.
نشر PeckShieldAlert الأخبار على Twitter ، حيث أفاد بأن الاختراق قد حقق للمهاجمين حوالي 455,000 دولار.
كما تم تأكيد الاختراق لاحقًا من قِبل مشغلي Arcadia Finance أنفسهم.
بعد بضع ساعات ، أبلغوا أنهم تمكنوا من الاتصال بالمخترق ، وأنهم كانوا يعملون مع شركائهم الأمنيين ، وسلطات إنفاذ القانون ، والمجتمع لحل المشكلة بأفضل ما في وسعهم في محاولة لاسترداد الأموال من أجل مستخدمي البروتوكول.
الخطأ الذي أدى إلى اختراق العملة المشفرة
وفقًا لـ PeckShield ، كان اختراق عقد Arcadia Finance الذكي نتيجة لاستغلال التحقق من صحة المدخلات غير الموثوق بها لاستنزاف الأموال من احتياطيات darcWETH و darcUSDC.
darcWETH و darcUSDC هما رمزان ملفوفان من Arcadia Finance ، لذلك كل منهما يحتفظ باحتياطيات.
نظريًا لكل رمز darcWETH يجب أن يكون هناك رمز WETH في الاحتياطيات ، ولكل رمز darcUSDC يجب أن يكون هناك رمز USDC.
من الواضح أن العقد الذكي الذي يدير احتياطيات هذين الرمزين المغلفين به خلل تمكن المهاجمون من استغلاله.
علاوة على ذلك ، اكتشفت PeckShield نقصًا في حماية إعادة الدخول في هذه العقود الذكية ، مما سمح بهذه الطريقة للتسوية الفورية لتجاوز فحص الحالة الداخلية لمدير الاحتياطيات.
لكي نكون منصفين ، دحضت أركاديا لاحقًا عملية إعادة البناء هذه ، لكنها لم تتمكن من تقديم تفسير بديل.
تمت سرقة معظم الأموال من سلسلة Optimism ، ثم تم نقلها بفضل Tornado Cash من أجل فقد مسارها.
بروتوكول أركاديا للتمويل
Arcadia Finance هو بروتوكول DeFi على Ethereum و Optimism لا يحتوي على رمزه الأصلي.
قبل الاختراق ، كان TVL حوالي 600,000 ألف دولار ، بينما انخفض بعد السرقة إلى 145,000 ألف دولار.
هذا بروتوكول غير أمني يسمح بتكوين حسابات عبر الهامش على السلسلة.
يمكن لمستخدمي حسابات الهامش هذه ضمان محافظ كاملة ، والوصول إلى ما يصل إلى 10 أضعاف رأس المال من قيمة الضمانات الأولية ، واستخدام الضمانات المودعة ورأس المال المقترض للتفاعل مع أي بروتوكول DeFi آخر بطريقة غير مصرح بها.
يوفر المقرضون السيولة لمجمعات قروض أركاديا ، ويحققون عوائد سلبية.
نظرًا لكونهم غير أمناء ، لم يكن المتسللون قادرين على سرقة الأموال مباشرة من محافظ المستخدمين ، ولكن بدلاً من تلك المستخدمة كاحتياطي لإصدار الرموز المميزة المغلفة darcWETH و darcUSDC.
وبالتالي ، لم تتم سرقة darcWETH أو darcUSDC مباشرة من محافظ المستخدمين ، ولكن تم سرقة WETH و USDC من المحافظ التي تم الاحتفاظ بها. هذا يعني أنه لم يعد هناك 1 WETH لكل darcWETH تم إصداره و 1 USDC لكل إصدار darcUSDC ، لذلك لا يزال لدى المستخدمين فعليًا جميع الرموز المميزة الخاصة بهم ولكن لم يعد بإمكانهم استردادها.
مشكلة الرموز الملفوفة
غالبًا ما يقال إن المحافظ غير الحافظة آمنة ، إذا تم تخزينها وصيانتها بشكل صحيح ، ولكن في بعض الأحيان تكمن المخاطر في المنبع.
في الواقع ، بالنسبة لأي محفظة غير أمينة ، هناك اختلاف بسيط في تخزين الرموز المميزة الأصلية ، مثل USDC ، أو الرموز المميزة المغلفة ، مثل darcUSDC.
ومع ذلك ، فإن الرموز المميزة المغلفة بها طبقة إضافية من المخاطر. في الواقع ، لا يتم الاحتفاظ بالضمانات من قبل المستخدمين أنفسهم في محافظهم غير الحافظة ، ولكن من قبل مديري الرموز المميزة المغلفة.
في الواقع ، لا يختلف هذا كثيرًا عن محفظة الحراسة ، نظرًا لأن حفظ الضمان يعادل في بعض النواحي حفظ الرموز المميزة المغلفة.
لذلك ، حتى إذا لم يتم اختراق محافظ المستخدمين الذين يحملون رموزًا مغلفة ، في حالة حدوث خرق للمحافظ الاحتياطية ، لا يزال بإمكان المستخدمين خسارة أموالهم ، وذلك ببساطة لأنه بينما لا يزال لديهم الرموز المميزة المغلفة ، لم يعد بإمكانهم استردادها. وبهذه الطريقة ، فإن قيمتها الفعلية تذهب إلى الصفر.
ينطبق هذا في الواقع على USDC أيضًا ، لأنه على الرغم من أنه ليس رمزًا مغلفًا ، فهو عملة مستقرة مضمونة ، مما يعني أنه يحتوي على احتياطيات كضمان ، والتي يحتفظ بها ويديرها كيان واحد (دائرة).
تأثير الاختراق الذي حدث على أسواق العملات المشفرة
كان التأثير على أسواق العملات المشفرة لهذا الاختراق صفريًا تقريبًا ، إذا استبعدنا الرموز المميزة المغلفة darcWETH و darcUSDC.
OP ، وهو الرمز الأصلي للتفاؤل ، لم يتكبد أيضًا خسائر فادحة ، لدرجة أن سعره اليوم تحرك بما يتماشى مع العديد من الرموز الأخرى المماثلة.
ثم مرة أخرى ، 455,000 دولار ليست بهذا القدر ، والآن طورت أسواق التشفير عادة هذا النوع من السرقة على بروتوكولات DeFi.
علاوة على ذلك ، فإن DeFi لا يتعلق بالبيتكوين ، والآن فإن البيتكوين هو الذي يملي الاتجاه في أسواق العملات المشفرة.
تعمل حالات مثل هذه فقط على توفير فهم أفضل للمخاطر التي تنطوي عليها عند استخدام بروتوكولات DeFi ، خاصةً عندما تكون مخفية كما في حالة الرموز المغلفة.
حدث شيء أسوأ بكثير في شهر مارس ، عندما تم اكتشاف أن الدائرة تمتلك جزءًا كبيرًا من احتياطيات USDC في بنك Silvergate الفاشل ، لدرجة أنه كان يخشى للحظة أن تفقد العملة المستقرة ارتباطها بالدولار.
ولكن بعد ذلك تدخل البنك المركزي الأمريكي بشكل مباشر لتغطية جميع أوجه النقص ، وبالتالي أعاد جميع المودعين في سيلفرغيت جميع أموالهم.
المصدر: https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/