هکر Arcadia Finance از سوء استفاده مجدد استفاده کرد، تیم درخواست بازگشت وجوه را دارد

بر اساس گزارش پس از مرگ در 10 ژوئیه که توسط تیم توسعه برنامه منتشر شد، مهاجم Arcadia Finance از یک سوء استفاده مجدد برای تخلیه 455000 دلار از پروتکل مالی غیرمتمرکز (DeFi) استفاده کرد. یک “سوء استفاده مجدد” یک اشکال است که به مهاجم اجازه می دهد تا یک قرارداد را “دوباره” وارد کند یا آن را در طی یک فرآیند چند مرحله ای قطع کند و از تکمیل صحیح فرآیند جلوگیری کند.

این تیم پیامی به مهاجم ارسال کرده و خواستار بازگرداندن وجوه در 24 ساعت شده و پلیس را تهدید کرده است که در صورت عدم رعایت هکر، اقدام خواهد کرد.

Arcadia Finance در صبح روز 10 جولای مورد سوء استفاده قرار گرفت و 455000 دلار ارز دیجیتال تخلیه شد. یک گزارش اولیه از شرکت امنیتی بلاک چین PeckShield بیان کرد که مهاجم از “فقدان اعتبارسنجی ورودی نامعتبر” در قراردادهای برنامه برای تخلیه وجوه استفاده کرده است. تیم Arcadia این موضوع را تکذیب کرده بود و اظهار داشت که تحلیل PeckShield اشتباه بوده است. با این حال، تیم توضیح نداد که علت آن در آن زمان چیست.

گزارش جدید Arcadia بیان کرد که تابع “liquidateVault()” برنامه حاوی بررسی مجدد ورود نیست. این به مهاجم اجازه می‌دهد تا قبل از تکمیل بررسی سلامت، اما پس از برداشت وجه توسط مهاجم، عملکرد را فراخوانی کند. در نتیجه، مهاجم می تواند وجوه قرض کند و آنها را پس ندهد و آنها را از پروتکل خارج کند.

این تیم اکنون قراردادها را متوقف کرده است و در حال کار بر روی یک اصلاحیه برای بستن این شکاف است.

مهاجم ابتدا یک وام فلش از Aave به ارزش 20672 دلار USD Coin (USDC) گرفت و آن را به صندوق Arcadia واریز کرد. سپس، هکر از این وثیقه برای قرض گرفتن 103210 دلار USDC از استخر نقدینگی Arcadia استفاده کرد. این کار از طریق یک تابع “doActionWithLeverage()” انجام شد که به کاربران اجازه می دهد تنها در صورتی که حساب آنها تا پایان بلوک سالم بماند، وجوه قرض کنند.

مهاجم مبلغ 103210 دلار را در خزانه واریز کرد و مجموع وجوه را به 123882 دلار رساند. سپس هکر تمام وجوه را برداشت و صندوق را بدون دارایی و 103210 دلار بدهی باقی گذاشت.

از نظر تئوری، این باید باعث می شد که همه اقدامات برگردانده شوند، زیرا برداشت وجه باید باعث عدم موفقیت حساب در بررسی سلامت می شد. با این حال، مهاجم از یک قرارداد مخرب برای فراخوانی ()liquiateVault قبل از شروع بررسی سلامت استفاده کرد. خزانه منحل شد و تمام بدهی های آن حذف شد. در نتیجه، دارایی‌ها و بدهی‌های آن صفر بود و به آن اجازه می‌داد از بررسی سلامت عبور کند.

از آنجایی که حساب پس از انجام تمام تراکنش‌ها، بررسی سلامت را گذراند، هیچ یک از تراکنش‌ها برگردانده نشد و استخر 103210 دلار تخلیه شد. مهاجم وام را از Aave در همان بلوک پس داد. هکر چندین بار این سوء استفاده را تکرار کرد و در مجموع 455000 دلار از استخرهای Optimism و Ethereum تخلیه کرد.

در گزارش خود، تیم آرکادیا ادعاهایی مبنی بر اینکه این اکسپلویت ناشی از ورودی نامعتبر بوده است را پس زد و اظهار داشت که این آسیب‌پذیری ادعایی «مسئله اصلی» در حمله نبوده است.

مربوط: دایره، تتر بیش از 65 میلیون دلار دارایی های منتقل شده از Multichain را مسدود می کند

تیم Arcadia با استفاده از فیلد داده های ورودی یک تراکنش Optimism پیامی را برای مهاجم ارسال کرد که در آن آمده بود:

ما درک می کنیم که شما درگیر سوء استفاده های Arcadia Finance هستید. ما فعالانه با کارشناسان امنیتی و مجریان قانون کار می کنیم. واریز و برداشت TC شما در BNB کمی سریع بود، این روزها پنهان کردن هویت خود به صورت آنلاین سخت است. ما این موضوع را با اجرای قانون تشدید خواهیم کرد، در صورت عدم بازگرداندن وجوهی که ظرف 24 ساعت آینده وجود دارد.”

آرکادیا در گزارش خود مدعی شد که سرنخ های امیدوارکننده ای برای ردیابی مهاجم پیدا کرده است. در این گزارش آمده است: «علاوه بر به دست آوردن آدرس‌های مرتبط با صرافی‌های متمرکز، ما همچنین پیوندهایی را به سوءاستفاده‌های قبلی پروتکل‌های دیگر کشف کردیم. “تیم در حال بررسی داده‌های درون زنجیره‌ای و خارج از زنجیره به حداکثر میزان است و چندین سرنخ دارد.”

سوء استفاده ها و کلاهبرداری ها در سال 2023 یک مشکل مداوم در فضای DeFi بوده است. گزارش 5 جولای CertiK بیان کرد که بیش از 300 میلیون دلار به دلیل سوء استفاده ها در سه ماهه دوم سال از دست رفته است.