Laut einem Obduktionsbericht vom 10. Juli nutzte der Arcadia Finance-Angreifer einen Wiedereintritts-Exploit, um 455.000 US-Dollar aus dem dezentralisierten Finanzprotokoll (DeFi) abzuschöpfen ausgegeben vom Entwicklungsteam der App. Ein „Reentrancy-Exploit“ ist ein Fehler, der es einem Angreifer ermöglicht, einen Vertrag „erneut einzugeben“ oder ihn während eines mehrstufigen Prozesses zu unterbrechen, wodurch verhindert wird, dass der Prozess ordnungsgemäß abgeschlossen wird.
Das Team hat eine Nachricht an den Angreifer gesendet, in der er die Rückerstattung der Gelder innerhalb von 24 Stunden fordert und mit Polizeieinsätzen droht, falls der Hacker dieser Aufforderung nicht Folge leistet.
Post-Mortem der aktuellen Situation, Bereitstellung eines technischen Überblicks und Weitergabe weiterer Informationen zu den nächsten Schritten.https://t.co/NPNbbSzKBQ
— Arcadia Finance (@ArcadiaFi) 10. Juli 2023
Arcadia Finance wurde am Morgen des 10. Juli ausgenutzt und Krypto im Wert von 455.000 US-Dollar entzogen. In einem vorläufigen Bericht des Blockchain-Sicherheitsunternehmens PeckShield heißt es, dass der Angreifer einen „Mangel an nicht vertrauenswürdiger Eingabevalidierung“ in den Verträgen der App ausgenutzt habe, um die Gelder abzuschöpfen. Das Arcadia-Team hatte dies bestritten und erklärt, dass die Analyse von PeckShield falsch sei. Das Team erklärte jedoch nicht, was seiner Meinung nach damals die Ursache war.
Im neuen Arcadia-Bericht heißt es, dass die Funktion „liquidateVault()“ der App keine Wiedereintrittsprüfung enthielt. Dadurch konnte der Angreifer die Funktion aufrufen, bevor eine Gesundheitsprüfung abgeschlossen war, aber nachdem der Angreifer Geld abgehoben hatte. Infolgedessen könnte sich der Angreifer Geld leihen, es aber nicht zurückzahlen, wodurch es dem Protokoll entzogen wird.
Das Team hat die Verträge nun pausiert und arbeitet an einem Patch, um die Lücke zu schließen.
Der Angreifer nahm zunächst einen Blitzkredit von Aave in Höhe von USD Coin (USDC) im Wert von 20.672 US-Dollar auf und deponierte ihn in einem Arcadia-Tresor. Als nächstes nutzte der Hacker diese Tresorsicherheit, um 103.210 USDC aus einem Arcadia-Liquiditätspool zu leihen. Dies wurde durch eine „doActionWithLeverage()“-Funktion erreicht, die es Benutzern nur dann ermöglicht, Geld zu leihen, wenn ihr Konto bis zum Ende der Sperrung gesund bleiben kann.
Der Angreifer zahlte 103.210 US-Dollar in den Tresor ein, wodurch sich der Gesamtbetrag auf 123.882 US-Dollar erhöhte. Anschließend zog der Hacker alle Gelder ab und ließ den Tresor ohne Vermögenswerte und mit Schulden in Höhe von 103.210 US-Dollar zurück.
Theoretisch hätte dies dazu führen müssen, dass alle Aktionen rückgängig gemacht würden, da das Abheben des Geldes dazu hätte führen müssen, dass das Konto eine Gesundheitsprüfung nicht bestanden hat. Allerdings nutzte der Angreifer einen böswilligen Vertrag, um liquidateVault() aufzurufen, bevor die Gesundheitsprüfung beginnen konnte. Der Tresor wurde aufgelöst, wodurch sämtliche Schulden beseitigt wurden. Das Ergebnis war, dass das Unternehmen keine Vermögenswerte und keine Verbindlichkeiten mehr hatte, sodass es den Gesundheitscheck bestehen konnte.
Da das Konto die Gesundheitsprüfung bestanden hatte, nachdem alle Transaktionen abgeschlossen waren, wurde keine der Transaktionen rückgängig gemacht und der Pool wurde um 103.210 US-Dollar geleert. Der Angreifer zahlte im selben Block das Darlehen von Aave zurück. Der Hacker wiederholte diesen Exploit mehrmals und entzog den Pools auf Optimism und Ethereum insgesamt 455.000 US-Dollar.
In seinem Bericht wies das Arcadia-Team Behauptungen zurück, dass der Exploit durch nicht vertrauenswürdige Eingaben verursacht worden sei, und erklärte, dass diese angebliche Schwachstelle nicht „das Kernproblem“ des Angriffs sei.
Verwandt: Circle, Tether friert über 65 Millionen US-Dollar an von Multichain übertragenen Vermögenswerten ein
Das Arcadia-Team Gesendet eine Nachricht an den Angreifer, die das Eingabedatenfeld einer Optimism-Transaktion verwendet und besagt:
„Wir gehen davon aus, dass Sie in den Exploit von Arcadia Finance verwickelt sind. Wir arbeiten aktiv mit Sicherheitsexperten und Strafverfolgungsbehörden zusammen. Ihre TC-Einzahlungen und -Abhebungen auf BNB waren etwas zu schnell, es ist heutzutage schwierig, Ihre Identität online zu verbergen. Wir werden die Angelegenheit mit den Strafverfolgungsbehörden eskalieren, sofern innerhalb der nächsten 24 Stunden keine Gelder zurückgezahlt werden.“
In seinem Bericht behauptete Arcadia, es habe einige vielversprechende Hinweise gefunden, um den Angreifer aufzuspüren. „Neben der Beschaffung von Adressen im Zusammenhang mit zentralisierten Börsen haben wir auch Links zu früheren Exploits anderer Protokolle aufgedeckt“, heißt es in dem Bericht. „Das Team untersucht sowohl On-Chain- als auch Off-Chain-Daten in vollem Umfang und hat mehrere Hinweise.“
Exploits und Betrügereien waren im Jahr 2023 ein anhaltendes Problem im DeFi-Bereich. In einem Bericht von CertiK vom 5. Juli heißt es, dass im zweiten Quartal des Jahres über 300 Millionen US-Dollar durch Exploits verloren gingen.
Sammeln Sie diesen Artikel als NFT um diesen Moment in der Geschichte zu bewahren und Ihre Unterstützung für unabhängigen Journalismus im Kryptoraum zu zeigen.