Hoy se descubrió un nuevo truco criptográfico: esta vez, el protocolo DeFi Arcadia Finance en las cadenas Ethereum y Optimism fue atacado con éxito.
PeckShieldAlert dio la noticia en Twitter, informando que el hack les reportó a los atacantes alrededor de $455,000.
El hack también fue confirmado más tarde por los propios operadores de Arcadia Finance.
Después de unas horas, informaron que pudieron ponerse en contacto con el pirata informático y que estaban trabajando junto con sus socios de seguridad, las fuerzas del orden público y la comunidad para resolver el problema lo mejor que pudieron en un esfuerzo por recuperar fondos para usuarios del protocolo.
El error que condujo al hack criptográfico
Según PeckShield, el hackeo del contrato inteligente de Arcadia Finance se debió a que se explotó una validación de entrada no confiable para drenar fondos de las reservas de darcWETH y darcUSDC.
darcWETH y darcUSDC son dos tokens de Arcadia Finance envueltos, por lo que cada uno tiene reservas.
En teoría, por cada token darcWETH debería haber un token WETH en las reservas, y por cada token darcUSDC debería haber un token USDC.
Evidentemente, el contrato inteligente que administra las reservas de estos dos tokens envueltos tenía un error que los atacantes pudieron aprovechar.
Además, PeckShield descubrió una falta de protección de reingreso en estos contratos inteligentes, lo que de esta manera permitió que la liquidación instantánea pasara por alto la verificación interna del estado del administrador de reservas.
Para ser justos, Arcadia luego refutó esta reconstrucción, pero no pudo proporcionar una explicación alternativa.
La mayoría de los fondos fueron robados de la cadena de Optimism, y luego fueron movidos gracias a Tornado Cash para perderles el rastro.
El protocolo Arcadia Finance
Arcadia Finance es un protocolo DeFi en Ethereum y Optimism que no tiene su propio token nativo.
Antes del hackeo, su TVL era de unos $600,000 145,000, mientras que después del robo se desplomó a $XNUMX XNUMX.
Este es un protocolo sin custodia que permite la composición de cuentas de margen cruzado en cadena.
Los usuarios de estas cuentas de margen pueden garantizar billeteras completas, acceder a hasta 10 veces más capital que su valor de garantía inicial y usar la garantía depositada y el capital prestado para interactuar con cualquier otro protocolo DeFi sin permiso.
Los prestamistas proporcionan liquidez a los fondos de préstamos de Arcadia, obteniendo rendimientos pasivos.
Al no tener custodia, los piratas informáticos no pudieron robar fondos directamente de las billeteras de los usuarios, sino de las que se usaron como reservas para emitir los tokens envueltos darcWETH y darcUSDC.
Por lo tanto, no se robaron darcWETH ni darcUSDC directamente de las billeteras de los usuarios, pero sí se robaron WETH y USDC de las billeteras en las que se guardaban las reservas. Esto significa que ya no hay 1 WETH por cada darcWETH emitido, y 1 USDC por cada darcUSDC emitido, por lo que los usuarios aún tienen todos sus tokens envueltos, pero ya no pueden canjearlos.
El problema con los tokens envueltos
A menudo se dice que las billeteras sin custodia son seguras, si se almacenan y mantienen adecuadamente, pero a veces los riesgos se encuentran aguas arriba.
De hecho, para cualquier monedero sin custodia hay poca diferencia entre almacenar tokens originales, como USDC, o tokens envueltos, como darcUSDC.
Sin embargo, los tokens envueltos tienen una capa adicional de riesgo. De hecho, la custodia de la garantía no la realizan los propios usuarios en sus billeteras sin custodia, sino los administradores de los tokens envueltos.
De hecho, esto no es muy diferente de una billetera de custodia, ya que la custodia de la garantía es, en cierto modo, equivalente a la custodia de los tokens envueltos.
Por lo tanto, incluso si las billeteras de los usuarios que tienen tokens envueltos no se violan, en caso de una violación de las billeteras de reserva, los usuarios aún pueden perder sus fondos, simplemente porque mientras todavía tienen los tokens envueltos, ya no pueden canjearlos. Su valor real de esta manera efectivamente llega a cero.
En realidad, esto también se aplica a USDC, porque si bien no es un token envuelto, es una moneda estable garantizada, lo que significa que tiene reservas como garantía, que es mantenida y administrada por una sola entidad (Círculo).
El impacto en los criptomercados del hackeo que ocurrió
El impacto en los criptomercados de este hack ha sido casi nulo, si excluimos los tokens envueltos darcWETH y darcUSDC.
OP, que es el token nativo de Optimism, tampoco ha sufrido pérdidas graves, tanto que su precio hoy se movió en línea con el de muchos otros tokens similares.
Por otra parte, $ 455,000 no es mucho, y ahora los criptomercados han desarrollado el hábito de este tipo de robo en los protocolos DeFi.
Además, DeFi no se trata de Bitcoin, y en este momento es Bitcoin el que está dictando la tendencia en los criptomercados.
Situaciones como esta solo sirven para comprender mejor los riesgos que implica el uso de los protocolos DeFi, especialmente cuando están ocultos, como en el caso de los tokens envueltos.
Algo mucho peor sucedió en marzo, cuando se descubrió que Circle tenía una parte significativa de las reservas de USDC en el fallido banco Silvergate, tanto que por un momento se temió que la moneda estable pudiera perder su paridad con el dólar.
Pero luego el banco central de EE. UU. intervino directamente para cubrir todos los déficits, devolviendo así a todos los depositantes de Silvergate todos sus fondos.
Fuente: https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/