هکرهای Arcadia Finance از سوء استفاده مجدد استفاده می کنند، تیم تقاضای بازگشت وجه را دارد

به گزارش پایگاه خبری ارز دیجیتال موبو ارز،

توسعه‌دهندگان Arcadia Finance در گزارشی پس از مرگ گفتند که مهاجمان قبل از انجام بررسی‌های بهداشتی، خزانه را منحل کرده و وجوه را به سرقت بردند، که جریان عملیاتی نرمال برنامه را قطع کرد.

طبق یک گزارش پس از مرگ در ۱۰ ژوئیه که توسط تیم توسعه برنامه منتشر شد، مهاجمان Arcadia Finance از یک سوء استفاده مجدد برای استخراج ۴۵۵۰۰۰ دلار از یک پروتکل مالی غیرمتمرکز (DeFi) استفاده کردند. یک “سوء استفاده مجدد” اشکالی است که به مهاجم اجازه می دهد تا در طی یک فرآیند چند مرحله ای قرارداد را “دوباره” وارد کند یا قرارداد را قطع کند و از تکمیل صحیح فرآیند جلوگیری کند.

این تیم پیام هایی را برای مهاجمان ارسال کرد و خواستار بازگرداندن وجوه ظرف ۲۴ ساعت شد و پلیس را تهدید کرد که در صورت عدم رعایت آنها اقدام خواهد کرد.

پس از مرگ در مورد آنچه در حال وقوع است، ارائه یک نمای کلی فنی، و به اشتراک گذاری اطلاعات دقیق در مورد مراحل بعدی. https://t.co/NPNbbSzKBQ

—Arcadia Finance (@ArcadiaFi) ۱۰ جولای ۲۰۲۳

آرکادیا فاینانس در صبح روز ۱۰ جولای مورد سوء استفاده قرار گرفت و ۴۵۵۰۰۰ دلار ارز رمزنگاری شده را استخراج کرد. بر اساس گزارش اولیه شرکت امنیتی بلاک چین Pecshield، مهاجمان از «عدم اعتبارسنجی ورودی نامعتبر» در قرارداد اپلیکیشن برای استخراج وجوه استفاده کردند. تیم Arcadia این موضوع را تکذیب کرد و گفت که تحلیل Peckschild اشتباه است. با این حال، تیم توضیح نداد که علت آن در آن زمان چیست.

گزارش جدیدی از Arcadia بیان می‌کند که عملکرد “liquidateVault()” برنامه شامل بررسی‌های ورود مجدد نمی‌شود. این به مهاجم اجازه می‌دهد تا عملکرد را حتی پس از اینکه مهاجم قبل از تکمیل بررسی سلامت برداشت کرده بود، فراخوانی کند. در نتیجه، مهاجمان می توانند وجوه قرض کنند و قادر به بازپرداخت آن نباشند و وجوهی را از پروتکل خارج کنند.

این تیم در حال حاضر قراردادها را به حالت تعلیق درآورده و در حال کار بر روی یک وصله برای بستن این شکاف است.

مهاجمان ابتدا یک وام فوری به ارزش ۲۰۶۷۲ دلار سکه دلار آمریکا (USDC) از Aave دریافت کردند و آن را در صندوق آرکادیا سپرده گذاری کردند. آنها سپس از وثیقه موجود در این صندوق برای وام گرفتن ۱۰۳۲۱۰ دلار USDC از استخر نقدینگی Arcadia استفاده کردند. این امر توسط تابع “doActionWithLeverage()” امکان پذیر شد، که به کاربران اجازه می دهد تنها در صورتی که حساب آنها تا پایان بلوک سالم بماند، وجوه قرض کنند.

مهاجمان ۱۰۳۲۱۰ دلار را در خزانه واریز کردند که مجموع وجوه را به ۱۲۳۸۸۲ دلار رساند. آنها سپس تمام وجوه خود را برداشتند و خزانه را بدون دارایی و ۱۰۳۲۱۰ دلار بدهی باقی گذاشتند.

در تئوری، برداشت وجوه باید باعث شکست بررسی سلامت حساب شود، بنابراین باید همه اقدامات را خنثی کند. با این حال، مهاجم از یک قرارداد مخرب برای فراخوانی () liquidVault قبل از شروع بررسی سلامت استفاده کرد. خزانه منحل شده و تمام بدهی ها از بین رفته است. در نتیجه توانستیم بازرسی سلامت را با صفر دارایی و صفر بدهی پشت سر بگذاریم.

پس از تکمیل تمام تراکنش‌ها، حساب مورد بررسی سلامت قرار گرفت، بنابراین هیچ تراکنش معکوس نشد و ۱۰۳۲۱۰ دلار از استخر خارج شد. مهاجمان وامی را از Aave در همان بلوک بازپرداخت کردند. آنها این سوء استفاده را چندین بار تکرار کردند و در مجموع ۴۵۵۰۰۰ دلار از استخرهای Optimism و Ethereum استخراج کردند.

در گزارش خود، تیم آرکادیا ادعاهایی مبنی بر اینکه این اکسپلویت ناشی از ورودی نامعتبر بوده است را رد کرد و گفت که آسیب‌پذیری ادعا شده «مشکل اصلی» حمله نبوده است.

مربوط: دایره، تتر بیش از ۶۵ میلیون دلار دارایی منتقل شده از چند زنجیره را مسدود کرد

تیم Arcadia از فیلدهای داده ورودی تراکنش Optimism برای ارسال پیام زیر به مهاجم استفاده کرد:

“ما درک می کنیم که شما در سوء استفاده از Arcadia Finance دست داشته اید. ما به طور فعال با کارشناسان امنیتی و سازمان های مجری قانون کار می کنیم. این روزها پنهان کردن هویت خود به صورت آنلاین سخت است و اگر من پول خود را ظرف ۲۴ سال آینده پس نگیرم. ساعت، من این موضوع را به مجریان قانون تشدید خواهم کرد.”

آرکادیا در گزارش خود مدعی شد که سرنخ های امیدوارکننده ای برای ردیابی مهاجمان پیدا کرده است. آنها گفتند: “علاوه بر به دست آوردن آدرس های مرتبط با صرافی های متمرکز، ما همچنین پیوندهایی را به سوء استفاده های قبلی در پروتکل های دیگر کشف کردیم.” “تیم داده‌های درون زنجیره‌ای و خارج از زنجیره را به‌طور کامل بررسی کرده‌اند و چندین سرنخ دارند.”

سوء استفاده ها و کلاهبرداری همچنان در فضای DeFi در سال ۲۰۲۳ یک مشکل خواهد بود. گزارش ۵ ژوئیه از Certik بیان کرد که این اکسپلویت ها بیش از ۳۰۰ میلیون دلار در سه ماهه دوم سال جاری از دست داده اند.

نویسنده: Tom Blackstone