El atacante de Arcadia Finance usó un exploit de reingreso para desviar $ 455,000 del protocolo de finanzas descentralizadas (DeFi), según una autopsia del 10 de julio emitida por el equipo de desarrollo de la aplicación. Un «exploit de reingreso» es un error que permite a un atacante «reingresar» un contrato o cancelarlo durante un proceso de varios pasos, lo que impide que el proceso se complete correctamente.
El equipo envió un mensaje al atacante exigiendo la devolución de los fondos dentro de las 24 horas y amenazando con la acción policial si no cumplían.
Post mortem de la situación actual, brindando una revisión técnica y compartiendo más información sobre los próximos pasos. https://t.co/NPNbbSzKBQ
— Arcadia Finanzas (@ArcadiaFi) 10 de julio de 2023
Arcadia Finance fue explotada en la mañana del 10 de julio y se desviaron $455 000 en criptomonedas. Un informe preliminar de la firma de seguridad de blockchain Peckshield indicó que el atacante usó una «falta de validación de entradas no confiables» en los contratos de la aplicación para desviar los fondos. El equipo de Arcadia lo negó y dijo que el análisis de Peckshield estaba equivocado. Sin embargo, el equipo no explicó cuál pensaban que era el motivo en ese momento.
El nuevo informe de Arcadia establece que la función «liquidateVault ()» de la aplicación no contiene verificación de reingreso. Esto permitió a un atacante llamar a la función antes de que finalizara la verificación de estado, pero después de que el atacante hubiera retirado los fondos. Como resultado, un atacante puede pedir prestados fondos y no devolverlos, drenándolos del protocolo.
El equipo ya ha pausado los contratos y está trabajando en un parche para cerrar la laguna.
El atacante primero tomó un préstamo rápido de Aave por $ 20,672 en monedas USDC y las depositó en una bóveda de Arcadia. Luego usaron esta garantía de tesorería para pedir prestado $103,210 USDC del fondo de liquidez de Arcadia. Esto se logró a través de una función «doActionWithLeverage()» que permite a los usuarios tomar fondos prestados solo si su cuenta puede permanecer en buen estado hasta el final del bloque.
El atacante depositó $103,210 en la bóveda, lo que eleva el total a $123,882. Luego retiraron todos los fondos, dejando a la tesorería sin activos y con una deuda de $103,210.
En teoría, esto debería haber causado que todas las acciones se revirtieran, ya que retirar los fondos debería haber provocado que el estado de la cuenta fallara. Sin embargo, el atacante usó un contrato malicioso para llamar a liquidateVault() antes de que pudiera comenzar la verificación de estado. El Tesoro fue liquidado, con todas sus deudas eliminadas. Como resultado, se quedó con cero activos y cero pasivos, lo que le permitió pasar el control de salud.
Como la cuenta pasó el control de salud después de que se completaron todas las transacciones, ninguna de las transacciones se revirtió y el grupo se vació por $ 103 210. El atacante pagó el préstamo de Aave dentro del mismo bloque. Repitieron esta hazaña varias veces, extrayendo un total de $ 455,000 de los fondos de Optimism y Ethereum.
En su informe, el equipo de Arcadia rechazó las afirmaciones de que el exploit fue causado por información no confiable y dijo que esta supuesta vulnerabilidad no era el «problema central» del ataque.
Conectado: Circle, Tether congela más de $ 65 millones en activos transferidos de Multichain
El equipo de Arcadia publicó un mensaje para el atacante utilizando el campo de entrada de transacción Optimism, que decía:
“Entendemos que está involucrado en la explotación de Arcadia Finance. Trabajamos activamente con expertos en seguridad y fuerzas del orden. Sus depósitos y retiros de BNB TC fueron demasiado rápidos, es difícil ocultar su identidad en línea en estos días. Escalaremos esto con la policía si los fondos no se devuelven dentro de las próximas 24 horas.
En su informe, Arcadia afirma haber encontrado algunas pistas prometedoras para rastrear al atacante. «Además de obtener direcciones asociadas con intercambios centralizados, también descubrimos enlaces a explotaciones anteriores de otros protocolos», dijeron. «El equipo está explorando los datos dentro y fuera de la cadena al máximo y tiene múltiples pistas».
Los exploits y el fraude son un problema constante en el espacio DeFi en 2023. Un informe del 5 de julio de Certik indicó que se perdieron más de $300 millones debido a exploits en el segundo trimestre del año.
