اختراق جديد للعملات المشفرة على Ethereum و Optimism

تم اكتشاف اختراق جديد للعملات المشفرة اليوم: هذه المرة تمت مهاجمة بروتوكول DeFi Arcadia Finance على سلاسل Ethereum and Optimism بنجاح.

نشر PeckShieldAlert الأخبار على Twitter ، حيث أفاد بأن الاختراق قد حقق للمهاجمين حوالي 455,000 دولار.

كما تم تأكيد الاختراق لاحقًا من قِبل مشغلي Arcadia Finance أنفسهم.

نحن ندرك وجود استغلال محتمل في بروتوكولنا.
لقد أوقفنا العقود مؤقتًا ونحقق في السبب الجذري مع خبراء الأمن أثناء حديثنا. مزيد من المعلومات ستتبع بمجرد توفرها.
- Arcadia Finance (ArcadiaFi) 10 تموز، 2023

بعد بضع ساعات ، أبلغوا أنهم تمكنوا من الاتصال بالمخترق ، وأنهم كانوا يعملون مع شركائهم الأمنيين ، وسلطات إنفاذ القانون ، والمجتمع لحل المشكلة بأفضل ما في وسعهم في محاولة لاسترداد الأموال من أجل مستخدمي البروتوكول.

الخطأ الذي أدى إلى اختراق العملة المشفرة

وفقًا لـ PeckShield ، كان اختراق عقد Arcadia Finance الذكي نتيجة لاستغلال التحقق من صحة المدخلات غير الموثوق بها لاستنزاف الأموال من احتياطيات darcWETH و darcUSDC.

darcWETH و darcUSDC هما رمزان ملفوفان من Arcadia Finance ، لذلك كل منهما يحتفظ باحتياطيات.

نظريًا لكل رمز darcWETH يجب أن يكون هناك رمز WETH في الاحتياطيات ، ولكل رمز darcUSDC يجب أن يكون هناك رمز USDC.

من الواضح أن العقد الذكي الذي يدير احتياطيات هذين الرمزين المغلفين به خلل تمكن المهاجمون من استغلاله.

علاوة على ذلك ، اكتشفت PeckShield نقصًا في حماية إعادة الدخول في هذه العقود الذكية ، مما سمح بهذه الطريقة للتسوية الفورية لتجاوز فحص الحالة الداخلية لمدير الاحتياطيات.

بالإضافة إلى ذلك ، هناك نقص في حماية إعادة الدخول ، مما يسمح بالتصفية الفورية لتجاوز فحص صحة الخزنة الداخلية. pic.twitter.com/Am58ZOvgQJ
- PeckShield Inc. (peckshield) 10 تموز، 2023

لكي نكون منصفين ، دحضت أركاديا لاحقًا عملية إعادة البناء هذه ، لكنها لم تتمكن من تقديم تفسير بديل.

تمت سرقة معظم الأموال من سلسلة Optimism ، ثم تم نقلها بفضل Tornado Cash من أجل فقد مسارها.

بروتوكول أركاديا للتمويل

Arcadia Finance هو بروتوكول DeFi على Ethereum و Optimism لا يحتوي على رمزه الأصلي.

قبل الاختراق ، كان TVL حوالي 600,000 ألف دولار ، بينما انخفض بعد السرقة إلى 145,000 ألف دولار.

هذا بروتوكول غير أمني يسمح بتكوين حسابات عبر الهامش على السلسلة.

يمكن لمستخدمي حسابات الهامش هذه ضمان محافظ كاملة ، والوصول إلى ما يصل إلى 10 أضعاف رأس المال من قيمة الضمانات الأولية ، واستخدام الضمانات المودعة ورأس المال المقترض للتفاعل مع أي بروتوكول DeFi آخر بطريقة غير مصرح بها.

يوفر المقرضون السيولة لمجمعات قروض أركاديا ، ويحققون عوائد سلبية.

نظرًا لكونهم غير أمناء ، لم يكن المتسللون قادرين على سرقة الأموال مباشرة من محافظ المستخدمين ، ولكن بدلاً من تلك المستخدمة كاحتياطي لإصدار الرموز المميزة المغلفة darcWETH و darcUSDC.

وبالتالي ، لم تتم سرقة darcWETH أو darcUSDC مباشرة من محافظ المستخدمين ، ولكن تم سرقة WETH و USDC من المحافظ التي تم الاحتفاظ بها. هذا يعني أنه لم يعد هناك 1 WETH لكل darcWETH تم إصداره و 1 USDC لكل إصدار darcUSDC ، لذلك لا يزال لدى المستخدمين فعليًا جميع الرموز المميزة الخاصة بهم ولكن لم يعد بإمكانهم استردادها.

مشكلة الرموز الملفوفة

غالبًا ما يقال إن المحافظ غير الحافظة آمنة ، إذا تم تخزينها وصيانتها بشكل صحيح ، ولكن في بعض الأحيان تكمن المخاطر في المنبع.

في الواقع ، بالنسبة لأي محفظة غير أمينة ، هناك اختلاف بسيط في تخزين الرموز المميزة الأصلية ، مثل USDC ، أو الرموز المميزة المغلفة ، مثل darcUSDC.

ومع ذلك ، فإن الرموز المميزة المغلفة بها طبقة إضافية من المخاطر. في الواقع ، لا يتم الاحتفاظ بالضمانات من قبل المستخدمين أنفسهم في محافظهم غير الحافظة ، ولكن من قبل مديري الرموز المميزة المغلفة.

في الواقع ، لا يختلف هذا كثيرًا عن محفظة الحراسة ، نظرًا لأن حفظ الضمان يعادل في بعض النواحي حفظ الرموز المميزة المغلفة.

لذلك ، حتى إذا لم يتم اختراق محافظ المستخدمين الذين يحملون رموزًا مغلفة ، في حالة حدوث خرق للمحافظ الاحتياطية ، لا يزال بإمكان المستخدمين خسارة أموالهم ، وذلك ببساطة لأنه بينما لا يزال لديهم الرموز المميزة المغلفة ، لم يعد بإمكانهم استردادها. وبهذه الطريقة ، فإن قيمتها الفعلية تذهب إلى الصفر.

ينطبق هذا في الواقع على USDC أيضًا ، لأنه على الرغم من أنه ليس رمزًا مغلفًا ، فهو عملة مستقرة مضمونة ، مما يعني أنه يحتوي على احتياطيات كضمان ، والتي يحتفظ بها ويديرها كيان واحد (دائرة).

تأثير الاختراق الذي حدث على أسواق العملات المشفرة

كان التأثير على أسواق العملات المشفرة لهذا الاختراق صفريًا تقريبًا ، إذا استبعدنا الرموز المميزة المغلفة darcWETH و darcUSDC.

OP ، وهو الرمز الأصلي للتفاؤل ، لم يتكبد أيضًا خسائر فادحة ، لدرجة أن سعره اليوم تحرك بما يتماشى مع العديد من الرموز الأخرى المماثلة.

ثم مرة أخرى ، 455,000 دولار ليست بهذا القدر ، والآن طورت أسواق التشفير عادة هذا النوع من السرقة على بروتوكولات DeFi.

علاوة على ذلك ، فإن DeFi لا يتعلق بالبيتكوين ، والآن فإن البيتكوين هو الذي يملي الاتجاه في أسواق العملات المشفرة.

تعمل حالات مثل هذه فقط على توفير فهم أفضل للمخاطر التي تنطوي عليها عند استخدام بروتوكولات DeFi ، خاصةً عندما تكون مخفية كما في حالة الرموز المغلفة.

حدث شيء أسوأ بكثير في شهر مارس ، عندما تم اكتشاف أن الدائرة تمتلك جزءًا كبيرًا من احتياطيات USDC في بنك Silvergate الفاشل ، لدرجة أنه كان يخشى للحظة أن تفقد العملة المستقرة ارتباطها بالدولار.

ولكن بعد ذلك تدخل البنك المركزي الأمريكي بشكل مباشر لتغطية جميع أوجه النقص ، وبالتالي أعاد جميع المودعين في سيلفرغيت جميع أموالهم.

المصدر: https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/