今天发现了一个新的加密货币黑客攻击:这次以太坊和 Optimism 链上的 DeFi Arcadia Finance 协议被成功攻击。
PeckShieldAlert 在 Twitter 上发布了这一消息,称此次黑客攻击使攻击者获利约 455,000 美元。
随后,Arcadia Finance 的运营商也证实了此次黑客攻击。
几个小时后,他们报告说他们能够与黑客取得联系,并且他们正在与安全合作伙伴、执法部门和社区合作,尽最大努力解决问题,以追回资金协议用户。
导致加密货币黑客攻击的错误
据 PeckShield 称,Arcadia Finance 智能合约遭到黑客攻击是由于不可信的输入验证被利用来从darcWETH 和darcUSDC 储备中抽走资金。
darcWETH 和 darcUSDC 是两种包装的 Arcadia Finance 代币,因此它们各自持有储备金。
理论上,对于每个 darcWETH 代币,储备中都应该有一个 WETH 代币,对于每个 darcUSDC 代币,储备中应该有一个 USDC 代币。
显然,管理这两个包装代币储备的智能合约存在攻击者能够利用的错误。
此外,PeckShield 发现这些智能合约缺乏重入保护,从而允许即时结算绕过储备管理器的内部状态检查。
公平地说,阿卡迪亚后来驳斥了这种重建,但无法提供替代解释。
大部分资金从 Optimism 的链上被盗,然后由于 Tornado Cash 的原因而被转移,从而失去了踪迹。
阿卡迪亚金融协议
Arcadia Finance 是以太坊和 Optimism 上的 DeFi 协议,没有自己的原生代币。
黑客攻击之前,其 TVL 约为 600,000 万美元,而盗窃事件发生后,其 TVL 暴跌至 145,000 美元。
这是一个非托管协议,允许组成链上跨保证金账户。
这些保证金账户的用户可以抵押整个钱包,获得比其初始抵押品价值多 10 倍的资本,并使用存入的抵押品和借入的资本以无需许可的方式与任何其他 DeFi 协议进行交互。
贷方为阿卡迪亚的贷款池提供流动性,赚取被动回报。
由于是非托管性的,黑客无法直接从用户的钱包中窃取资金,而是从用作发行包装代币 darcWETH 和 darcUSDC 的储备金中窃取资金。
因此,darcWETH 或 darcUSDC 不会直接从用户钱包中被盗,但 WETH 和 USDC 会从持有储备金的钱包中被盗。 这意味着每发行一个 darcWETH 不再对应 1 个 WETH,每发行一个 DarcUSDC 不再对应 1 USDC,因此实际上用户仍然拥有所有包装的代币,但无法再兑换它们。
包装令牌的问题
人们常说,如果存储和维护得当,非托管钱包是安全的,但有时风险来自上游。
事实上,对于任何非托管钱包来说,存储原始代币(例如 USDC)或包装代币(例如darcUSDC)几乎没有什么区别。
然而,包装代币还有一层额外的风险。 事实上,抵押品的保管不是由用户自己在非托管钱包上完成的,而是由包装代币的管理者完成的。
事实上,这与托管钱包没有太大区别,因为抵押品的托管在某些方面相当于包装代币的托管。
因此,即使持有包装代币的用户的钱包没有被破坏,如果储备钱包被破坏,用户仍然可能会失去资金,因为他们仍然拥有包装代币,但无法再赎回它们。 通过这种方式,它们的实际价值实际上为零。
这实际上也适用于 USDC,因为虽然它不是包装代币,但它是有抵押的稳定币,这意味着它有储备金作为抵押品,由单个实体(Circle)持有和管理。
发生的黑客事件对加密货币市场的影响
如果我们排除打包代币darcWETH和darcUSDC,此次黑客攻击对加密货币市场的影响几乎为零。
OP 是 Optimism 的原生代币,也没有遭受严重损失,以至于其今天的价格与许多其他类似代币的价格走势一致。
话又说回来,455,000 美元并不算多,而且现在加密市场已经养成了在 DeFi 协议上进行此类盗窃的习惯。
此外,DeFi 与比特币无关,而现在正是比特币在决定加密货币市场的趋势。
像这样的情况只会让人们更好地了解使用 DeFi 协议时所涉及的风险,尤其是当它们像包装代币那样被隐藏时。
XNUMX 月份发生了更糟糕的事情,当时人们发现 Circle 在倒闭的 Silvergate 银行持有 USDC 储备的很大一部分,以至于一度有人担心这种稳定币可能会失去与美元的挂钩。
但随后美国央行直接干预,弥补了所有缺口,从而将所有 Silvergate 储户的资金全部返还。
来源:https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/