به گزارش پایگاه خبری ارز دیجیتال موبو ارز،
توسعهدهندگان Arcadia Finance در گزارشی پس از مرگ گفتند که مهاجمان قبل از انجام بررسیهای بهداشتی، خزانه را منحل کرده و وجوه را به سرقت بردند، که جریان عملیاتی نرمال برنامه را قطع کرد.
طبق یک گزارش پس از مرگ در 10 ژوئیه که توسط تیم توسعه برنامه منتشر شد، مهاجمان Arcadia Finance از یک سوء استفاده مجدد برای استخراج 455000 دلار از یک پروتکل مالی غیرمتمرکز (DeFi) استفاده کردند. یک “سوء استفاده مجدد” اشکالی است که به مهاجم اجازه می دهد تا در طی یک فرآیند چند مرحله ای قرارداد را “دوباره” وارد کند یا قرارداد را قطع کند و از تکمیل صحیح فرآیند جلوگیری کند.
این تیم پیام هایی را برای مهاجمان ارسال کرد و خواستار بازگرداندن وجوه ظرف 24 ساعت شد و پلیس را تهدید کرد که در صورت عدم رعایت آنها اقدام خواهد کرد.
پس از مرگ در مورد آنچه در حال وقوع است، ارائه یک نمای کلی فنی، و به اشتراک گذاری اطلاعات دقیق در مورد مراحل بعدی. https://t.co/NPNbbSzKBQ
—Arcadia Finance (@ArcadiaFi) 10 جولای 2023
آرکادیا فاینانس در صبح روز 10 جولای مورد سوء استفاده قرار گرفت و 455000 دلار ارز رمزنگاری شده را استخراج کرد. بر اساس گزارش اولیه شرکت امنیتی بلاک چین Pecshield، مهاجمان از «عدم اعتبارسنجی ورودی نامعتبر» در قرارداد اپلیکیشن برای استخراج وجوه استفاده کردند. تیم Arcadia این موضوع را تکذیب کرد و گفت که تحلیل Peckschild اشتباه است. با این حال، تیم توضیح نداد که علت آن در آن زمان چیست.
گزارش جدیدی از Arcadia بیان میکند که عملکرد “liquidateVault()” برنامه شامل بررسیهای ورود مجدد نمیشود. این به مهاجم اجازه میدهد تا عملکرد را حتی پس از اینکه مهاجم قبل از تکمیل بررسی سلامت برداشت کرده بود، فراخوانی کند. در نتیجه، مهاجمان می توانند وجوه قرض کنند و قادر به بازپرداخت آن نباشند و وجوهی را از پروتکل خارج کنند.
این تیم در حال حاضر قراردادها را به حالت تعلیق درآورده و در حال کار بر روی یک وصله برای بستن این شکاف است.
مهاجمان ابتدا یک وام فوری به ارزش 20672 دلار سکه دلار آمریکا (USDC) از Aave دریافت کردند و آن را در صندوق آرکادیا سپرده گذاری کردند. آنها سپس از وثیقه موجود در این صندوق برای وام گرفتن 103210 دلار USDC از استخر نقدینگی Arcadia استفاده کردند. این امر توسط تابع “doActionWithLeverage()” امکان پذیر شد، که به کاربران اجازه می دهد تنها در صورتی که حساب آنها تا پایان بلوک سالم بماند، وجوه قرض کنند.
مهاجمان 103210 دلار را در خزانه واریز کردند که مجموع وجوه را به 123882 دلار رساند. آنها سپس تمام وجوه خود را برداشتند و خزانه را بدون دارایی و 103210 دلار بدهی باقی گذاشتند.
در تئوری، برداشت وجوه باید باعث شکست بررسی سلامت حساب شود، بنابراین باید همه اقدامات را خنثی کند. با این حال، مهاجم از یک قرارداد مخرب برای فراخوانی () liquidVault قبل از شروع بررسی سلامت استفاده کرد. خزانه منحل شده و تمام بدهی ها از بین رفته است. در نتیجه توانستیم بازرسی سلامت را با صفر دارایی و صفر بدهی پشت سر بگذاریم.
پس از تکمیل تمام تراکنشها، حساب مورد بررسی سلامت قرار گرفت، بنابراین هیچ تراکنش معکوس نشد و 103210 دلار از استخر خارج شد. مهاجمان وامی را از Aave در همان بلوک بازپرداخت کردند. آنها این سوء استفاده را چندین بار تکرار کردند و در مجموع 455000 دلار از استخرهای Optimism و Ethereum استخراج کردند.
در گزارش خود، تیم آرکادیا ادعاهایی مبنی بر اینکه این اکسپلویت ناشی از ورودی نامعتبر بوده است را رد کرد و گفت که آسیبپذیری ادعا شده «مشکل اصلی» حمله نبوده است.
مربوط: دایره، تتر بیش از 65 میلیون دلار دارایی منتقل شده از چند زنجیره را مسدود کرد
تیم Arcadia از فیلدهای داده ورودی تراکنش Optimism برای ارسال پیام زیر به مهاجم استفاده کرد:
“ما درک می کنیم که شما در سوء استفاده از Arcadia Finance دست داشته اید. ما به طور فعال با کارشناسان امنیتی و سازمان های مجری قانون کار می کنیم. این روزها پنهان کردن هویت خود به صورت آنلاین سخت است و اگر من پول خود را ظرف 24 سال آینده پس نگیرم. ساعت، من این موضوع را به مجریان قانون تشدید خواهم کرد.”
آرکادیا در گزارش خود مدعی شد که سرنخ های امیدوارکننده ای برای ردیابی مهاجمان پیدا کرده است. آنها گفتند: “علاوه بر به دست آوردن آدرس های مرتبط با صرافی های متمرکز، ما همچنین پیوندهایی را به سوء استفاده های قبلی در پروتکل های دیگر کشف کردیم.” “تیم دادههای درون زنجیرهای و خارج از زنجیره را بهطور کامل بررسی کردهاند و چندین سرنخ دارند.”
سوء استفاده ها و کلاهبرداری همچنان در فضای DeFi در سال 2023 یک مشکل خواهد بود. گزارش 5 ژوئیه از Certik بیان کرد که این اکسپلویت ها بیش از 300 میلیون دلار در سه ماهه دوم سال جاری از دست داده اند.
نویسنده: Tom Blackstone
