Scoperto oggi un nuovo crypto hack: questa volta è stato attaccato con successo il protocollo DeFi Arcadia Finance sulle catene Ethereum e Optimism.
PeckShieldAlert ha dato la notizia su Twitter, riferendo che l'hack ha fruttato agli aggressori circa $ 455,000.
L'hack è stato successivamente confermato anche dagli stessi operatori di Arcadia Finance.
Dopo alcune ore, hanno riferito di essere riusciti a mettersi in contatto con l'hacker e che stavano collaborando con i loro partner per la sicurezza, le forze dell'ordine e la comunità per risolvere il problema nel miglior modo possibile nel tentativo di recuperare fondi per utenti del protocollo.
Il bug che ha portato al crypto hack
Secondo PeckShield, l'attacco allo smart contract di Arcadia Finance era dovuto alla convalida di input non attendibile sfruttata per drenare fondi dalle riserve di darcWETH e darcUSDC.
darcWETH e darcUSDC sono due token Arcadia Finance impacchettati, quindi ognuno detiene riserve.
Teoricamente per ogni token darcWETH dovrebbe esserci un token WETH nelle riserve, e per ogni token darcUSDC dovrebbe esserci un token USDC.
Evidentemente lo smart contract che gestisce le riserve di questi due token in wrapping aveva un bug che gli attaccanti sono riusciti a sfruttare.
Inoltre, PeckShield ha scoperto una mancanza di protezione al rientro in questi contratti intelligenti, che in questo modo ha permesso al regolamento istantaneo di aggirare il controllo di stato interno del gestore delle riserve.
Per essere onesti, Arcadia ha successivamente confutato questa ricostruzione, ma non è stata in grado di fornire una spiegazione alternativa.
La maggior parte dei fondi sono stati rubati dalla catena di Optimism, e sono stati poi spostati grazie a Tornado Cash per farli perdere di vista.
Il protocollo Arcadia Finance
Arcadia Finance è un protocollo DeFi su Ethereum e Optimism che non ha un proprio token nativo.
Prima dell'hack, il suo TVL era di circa $ 600,000, mentre dopo il furto è precipitato a $ 145,000.
Si tratta di un protocollo non detentivo che consente la composizione di conti cross-margin on-chain.
Gli utenti di questi conti a margine possono collateralizzare interi portafogli, accedere a un capitale fino a 10 volte superiore al loro valore iniziale di garanzia e utilizzare la garanzia depositata e il capitale preso in prestito per interagire con qualsiasi altro protocollo DeFi senza autorizzazione.
I finanziatori forniscono liquidità ai pool di prestiti di Arcadia, ottenendo rendimenti passivi.
Essendo non detentivi, gli hacker non sono stati in grado di rubare fondi direttamente dai portafogli degli utenti, ma piuttosto da quelli utilizzati come riserve per l'emissione dei token incartati darcWETH e darcUSDC.
Pertanto, nessun darcWETH o darcUSDC è stato rubato direttamente dai portafogli degli utenti, ma WETH e USDC sono stati rubati dai portafogli su cui erano detenute le riserve. Ciò significa che non c'è più 1 WETH per ogni darcWETH emesso e 1 USDC per ogni darcUSDC emesso, quindi in effetti gli utenti hanno ancora tutti i loro token incapsulati ma non possono più riscattarli.
Il problema con i token avvolti
Si dice spesso che i portafogli non custoditi siano sicuri, se conservati e mantenuti correttamente, ma a volte i rischi risiedono a monte.
In effetti, per qualsiasi portafoglio non detentivo c'è poca differenza nella memorizzazione di token originali, come USDC, o token avvolti, come darcUSDC.
Tuttavia, i token incapsulati presentano un ulteriore livello di rischio. Infatti, la custodia del collaterale non viene fatta dagli utenti stessi sui loro wallet non custoditi, ma dai gestori dei token wrappati.
Questo, infatti, non è molto diverso da un custodial wallet, poiché la custodia del collateral è per certi versi equivalente alla custodia dei token imbustati.
Pertanto, anche se i portafogli degli utenti che detengono i token avvolti non vengono violati, in caso di violazione dei portafogli di riserva, gli utenti possono comunque perdere i propri fondi, semplicemente perché mentre hanno ancora i token avvolti non possono più riscattarli. Il loro valore effettivo in questo modo va effettivamente a zero.
Questo in realtà vale anche per USDC, perché sebbene non sia un token avvolto è una stablecoin collateralizzata, il che significa che ha riserve come garanzia, che è detenuta e gestita da una singola entità (Circle).
L'impatto sui mercati delle criptovalute dell'hack che si è verificato
L'impatto sui mercati delle criptovalute di questo hack è stato quasi nullo, se si escludono i token in wrapping darcWETH e darcUSDC.
Anche OP, che è il token nativo di Optimism, non ha subito gravi perdite, tanto che il suo prezzo oggi si è mosso in linea con quelli di tanti altri token simili.
Inoltre, $ 455,000 non sono molti, e ormai i mercati delle criptovalute hanno sviluppato l'abitudine a questo tipo di furto sui protocolli DeFi.
Inoltre, DeFi non riguarda Bitcoin, e in questo momento è Bitcoin a dettare la tendenza nei mercati delle criptovalute.
Situazioni come questa servono solo a fornire una migliore comprensione dei rischi connessi all'utilizzo dei protocolli DeFi, soprattutto quando sono nascosti come nel caso dei token avvolti.
Qualcosa di molto peggio era accaduto a marzo, quando si scoprì che Circle deteneva una parte significativa delle riserve USDC sulla fallita banca Silvergate, tanto che per un attimo si temette che la stablecoin potesse perdere il suo ancoraggio con il dollaro.
Ma poi la banca centrale americana è intervenuta direttamente per coprire tutte le carenze, restituendo così a tutti i depositanti di Silvergate tutti i loro fondi.
Fonte: https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/