Hakimi i ri i kriptove në Ethereum dhe Optimism

Një hakim i ri kriptosh u zbulua sot: këtë herë protokolli DeFi Arcadia Finance në zinxhirët Ethereum dhe Optimism u sulmua me sukses. 

PeckShieldAlert e bëri të ditur lajmin në Twitter, duke raportuar se hakimi i mori sulmuesit rreth 455,000 dollarë. 

Hakimi u konfirmua më vonë edhe nga vetë operatorët e Arcadia Finance. 

Pas disa orësh, ata raportuan se ishin në gjendje të lidhnin kontakt me hakerin dhe se po punonin së bashku me partnerët e tyre të sigurisë, zbatimin e ligjit dhe komunitetin për të zgjidhur problemin sa më mirë që të mundeshin në përpjekje për të rikuperuar fondet për përdoruesit e protokollit.

Defekti që çoi në hakimin e kriptove

Sipas PeckShield, hakimi i kontratës inteligjente të Arcadia Finance ishte për shkak të vlerësimit të pabesueshëm të inputeve që u shfrytëzuan për të hequr fondet nga rezervat e darcWETH dhe darcUSDC.

darcWETH dhe darcUSDC janë dy argumente të mbështjella Arcadia Finance, kështu që secili prej tyre mbajnë rezerva. 

Teorikisht për çdo token darcWETH duhet të ketë një shenjë WETH në rezerva, dhe për çdo token darcUSDC duhet të ketë një shenjë USDC. 

Me sa duket, kontrata e zgjuar që menaxhon rezervat e këtyre dy argumenteve të mbështjella kishte një gabim që sulmuesit ishin në gjendje ta shfrytëzonin. 

Për më tepër, PeckShield zbuloi mungesën e mbrojtjes së rihyrjes në këto kontrata inteligjente, të cilat në këtë mënyrë lejuan që shlyerja e menjëhershme të anashkalonte kontrollin e brendshëm të gjendjes së menaxherit të rezervave. 

Për të qenë të drejtë, Arcadia më vonë e hodhi poshtë këtë rindërtim, por nuk ishte në gjendje të jepte një shpjegim alternativ. 

Shumica e fondeve u vodhën nga zinxhiri i Optimism dhe më pas u zhvendosën falë Tornado Cash për të humbur gjurmët e tyre. 

Protokolli i financave të Arcadia

Arcadia Finance është një protokoll DeFi mbi Ethereum dhe Optimism që nuk ka shenjën e vet amtare. 

Para hakimit, TVL-ja e tij ishte rreth 600,000 dollarë, ndërsa pas vjedhjes ajo ra në 145,000 dollarë. 

Ky është një protokoll jo-kujdestar që lejon përbërjen e llogarive të ndërlidhura në zinxhir. 

Përdoruesit e këtyre llogarive të marzhit mund të kolateralizojnë kuletat e tëra, të kenë akses deri në 10 herë më shumë kapital sesa vlera e tyre fillestare e kolateralit dhe të përdorin kolateralin e depozituar dhe kapitalin e huazuar për të bashkëvepruar me çdo protokoll tjetër DeFi në një mënyrë pa leje. 

Huadhënësit sigurojnë likuiditet për grupet e huasë së Arcadia, duke fituar kthime pasive.

Duke qenë jo-kujdestarë, hakerët nuk ishin në gjendje të vidhnin fondet direkt nga kuletat e përdoruesve, por më tepër nga ato të përdorura si rezerva për lëshimin e tokenave të mbështjellur darcWETH dhe darcUSDC. 

Kështu, asnjë darcWETH ose darcUSDC nuk u vodh drejtpërdrejt nga kuletat e përdoruesve, por WETH dhe USDC u vodhën nga kuletat në të cilat mbaheshin rezervat. Kjo do të thotë që nuk ka më 1 WETH për çdo darcWETH të lëshuar dhe 1 USDC për çdo darcUSDC të lëshuar, kështu që në mënyrë efektive përdoruesit i kanë ende të gjitha tokenet e tyre të mbështjella, por nuk mund t'i përdorin më ato.

Problemi me argumentet e mbështjella

Shpesh thuhet se kuletat jo-kujdestare janë të sigurta, nëse ruhen dhe mirëmbahen siç duhet, por ndonjëherë rreziqet qëndrojnë në rrjedhën e sipërme. 

Në të vërtetë, për çdo portofol jo-kujdestar ka pak ndryshim në ruajtjen e argumenteve origjinale, të tilla si USDC, ose argumenteve të mbështjellë, të tilla si darcUSDC. 

Megjithatë, argumentet e mbështjella kanë një shtresë shtesë rreziku. Në fakt, ruajtja e kolateralit nuk bëhet nga vetë përdoruesit në kuletat e tyre jo-kujdestare, por nga menaxherët e tokenave të mbështjellë. 

Në fakt, kjo nuk është shumë e ndryshme nga një portofol kujdestarie, pasi ruajtja e kolateralit është në një farë mënyre ekuivalente me kujdestarinë e argumenteve të mbështjella. 

Prandaj, edhe nëse kuletat e përdoruesve që mbajnë token të mbështjellur nuk shkelen, në rast të shkeljes së kuletave të rezervës, përdoruesit mund të humbasin fondet e tyre, thjesht sepse ndërkohë që kanë ende tokenat e mbështjellur, ata nuk mund t'i shlyejnë më ato. Vlera e tyre aktuale në këtë mënyrë në mënyrë efektive shkon në zero. 

Kjo në fakt vlen edhe për USDC, sepse megjithëse nuk është një token i mbështjellë, ai është një monedhë stabile e kolateralizuar, që do të thotë se ka rezerva si kolateral, i cili mbahet dhe menaxhohet nga një entitet i vetëm (Rrethi). 

Ndikimi në tregjet e kriptove të hakimit që ndodhi

Ndikimi në tregjet e kriptove të këtij hakimi ka qenë pothuajse zero, nëse përjashtojmë argumentet e mbështjella darcWETH dhe darcUSDC. 

OP, e cila është shenja origjinale e Optimism, gjithashtu nuk ka pësuar humbje serioze, aq sa çmimi i saj sot ka lëvizur në përputhje me ato të shumë tokenëve të tjerë të ngjashëm. 

Pastaj përsëri, 455,000 dollarë nuk janë aq shumë, dhe deri tani tregjet e kriptove kanë zhvilluar një zakon të këtij lloji të vjedhjes në protokollet DeFi. 

Për më tepër, DeFi nuk ka të bëjë me Bitcoin, dhe tani është Bitcoin që po dikton trendin në tregjet e kriptove. 

Situata si kjo shërbejnë vetëm për të siguruar një kuptim më të mirë të rreziqeve të përfshira gjatë përdorimit të protokolleve DeFi, veçanërisht kur ato janë të fshehura si në rastin e tokenëve të mbështjellë. 

Diçka shumë më e keqe kishte ndodhur në mars, kur u zbulua se Circle mbante një pjesë të konsiderueshme të rezervave të USDC në bankën e dështuar Silvergate, aq sa për një moment u friksua se stablecoin mund të humbiste lidhjen e saj me dollarin. 

Por më pas banka qendrore e SHBA-së ndërhyri drejtpërdrejt për të mbuluar të gjitha mungesat, duke i kthyer kështu të gjithë depozituesit e Silvergate të gjitha fondet e tyre.