El atacante de Arcadia Finance usó un exploit de reingreso para drenar USD 455 000 del protocolo de finanzas descentralizadas (DeFi), según un informe post mortem del 10 de julio. emitido por el equipo de desarrollo de la aplicación. Un “exploit de reingreso” es un error que permite a un atacante “volver a ingresar” un contrato o interrumpirlo durante un proceso de varios pasos, evitando que el proceso se complete correctamente.
El equipo ha enviado un mensaje al atacante exigiendo la devolución de los fondos dentro de las 24 horas y amenazando con la acción policial si el hacker no cumple.
Post mortem de la situación en curso, proporcionando una descripción técnica y compartiendo más información sobre los próximos pasos.https://t.co/NPNbbSzKBQ
— Arcadia Finanzas (@ArcadiaFi) 10 de julio de 2023
Arcadia Finance fue explotada en la mañana del 10 de julio y agotó $ 455,000 en criptografía. Un informe preliminar de la firma de seguridad blockchain PeckShield indicó que el atacante había utilizado una “falta de validación de entrada no confiable” en los contratos de la aplicación para drenar los fondos. El equipo de Arcadia lo negó, afirmando que el análisis de PeckShield estaba equivocado. Sin embargo, el equipo no explicó cuál pensaba que era la causa en ese momento.
El nuevo informe de Arcadia indicó que la función “liquidateVault()” de la aplicación no contenía una verificación de reingreso. Esto permitió al atacante llamar a la función antes de que se completara una verificación de estado pero después de que el atacante hubiera retirado fondos. Como resultado, el atacante podría pedir prestados fondos y no devolverlos, drenándolos del protocolo.
El equipo ahora ha pausado los contratos y está trabajando en un parche para cerrar la laguna.
El atacante primero tomó un préstamo rápido de Aave por valor de $ 20,672 en USD Coin (USDC) y lo depositó en una bóveda de Arcadia. A continuación, el hacker usó esta garantía de bóveda para pedir prestado $103,210 USDC de un grupo de liquidez de Arcadia. Esto se logró a través de una función “doActionWithLeverage ()” que permite a los usuarios pedir prestados fondos solo si su cuenta puede permanecer saludable al final del bloque.
El atacante depositó los 103.210 dólares en la bóveda, lo que elevó los fondos totales a 123.882 dólares. Luego, el pirata informático retiró todos los fondos, dejando la bóveda sin activos y con una deuda de $ 103,210.
Teóricamente, esto debería haber causado que todas las acciones se revirtieran, ya que retirar los fondos debería haber provocado que la cuenta fallara en un control de salud. Sin embargo, el atacante usó un contrato malicioso para llamar a liquidateVault() antes de que pudiera comenzar la verificación de estado. La bóveda fue liquidada, eliminando todas sus deudas. Como resultado, se quedó con cero activos y cero pasivos, lo que le permitió pasar el control de salud.
Dado que la cuenta pasó el control de salud después de que se concluyeron todas las transacciones, ninguna de las transacciones se revirtió y se vació el fondo de $103,210. El atacante devolvió el préstamo de Aave dentro del mismo bloque. El hacker repitió esta hazaña varias veces, drenando un total de $ 455,000 de los fondos en Optimism y Ethereum.
En su informe, el equipo de Arcadia rechazó las afirmaciones de que el exploit fue causado por una entrada no confiable, afirmando que esta supuesta vulnerabilidad no era “el problema central” del ataque.
Relacionado: Circle, Tether congela más de $ 65 millones en activos transferidos de Multichain
El equipo Arcadia al corriente un mensaje al atacante utilizando el campo de datos de entrada de una transacción Optimism, indicando:
“Entendemos que está involucrado en la hazaña de Arcadia Finance. Estamos trabajando activamente con expertos en seguridad y fuerzas del orden. Sus depósitos y retiros de TC en BNB fueron demasiado rápidos, es difícil ocultar su identidad en línea en estos días. Escalaremos esto con las fuerzas del orden en ausencia de devolución de fondos dentro de las próximas 24 horas”.
En su informe, Arcadia afirmó que había encontrado algunas pistas prometedoras para rastrear al atacante. “Además de obtener direcciones vinculadas a intercambios centralizados, también descubrimos vínculos a explotaciones anteriores de otros protocolos”, dijo el informe. “El equipo está investigando los datos tanto dentro como fuera de la cadena al máximo y tiene múltiples pistas”.
Los exploits y las estafas han sido un problema continuo en el espacio DeFi en 2023. Un informe del 5 de julio de CertiK indicó que se perdieron más de $ 300 millones debido a exploits en el segundo trimestre del año.