Heute wurde ein neuer Krypto-Hack entdeckt: Diesmal wurde das DeFi Arcadia Finance-Protokoll auf den Ethereum- und Optimism-Ketten erfolgreich angegriffen.
PeckShieldAlert verbreitete die Nachricht auf Twitter und berichtete, dass der Hack den Angreifern etwa 455,000 US-Dollar einbrachte.
Der Hack wurde später auch von den Betreibern von Arcadia Finance selbst bestätigt.
Nach ein paar Stunden berichteten sie, dass sie Kontakt mit dem Hacker aufnehmen konnten und dass sie mit ihren Sicherheitspartnern, den Strafverfolgungsbehörden und der Community zusammenarbeiteten, um das Problem so gut wie möglich zu lösen und Gelder zurückzugewinnen Protokollbenutzer.
Der Fehler, der zum Krypto-Hack führte
Laut PeckShield war der Hack auf den Smart Contract von Arcadia Finance darauf zurückzuführen, dass eine nicht vertrauenswürdige Eingabevalidierung ausgenutzt wurde, um Gelder aus den Reserven von darcWETH und darcUSDC abzuziehen.
darcWETH und darcUSDC sind zwei verpackte Arcadia Finance-Token, sodass sie jeweils Reserven halten.
Theoretisch sollte es für jeden darcWETH-Token einen WETH-Token in den Reserven geben, und für jeden darcUSDC-Token sollte es einen USDC-Token geben.
Offensichtlich hatte der Smart Contract, der die Reserven dieser beiden verpackten Token verwaltet, einen Fehler, den Angreifer ausnutzen konnten.
Darüber hinaus entdeckte PeckShield einen fehlenden Wiedereintrittsschutz in diesen Smart Contracts, der es auf diese Weise ermöglichte, dass die sofortige Abwicklung die interne Statusprüfung des Reservenmanagers umging.
Fairerweise muss man sagen, dass Arcadia diese Rekonstruktion später widerlegte, aber keine alternative Erklärung liefern konnte.
Die meisten Gelder wurden aus der Optimism-Kette gestohlen und dann dank Tornado Cash verschoben, um den Überblick über sie zu verlieren.
Das Arcadia Finance-Protokoll
Arcadia Finance ist ein DeFi-Protokoll auf Ethereum und Optimism, das über keinen eigenen nativen Token verfügt.
Vor dem Hack betrug der TVL etwa 600,000 US-Dollar, während er nach dem Diebstahl auf 145,000 US-Dollar sank.
Hierbei handelt es sich um ein nicht verwahrtes Protokoll, das die Einrichtung von Cross-Margin-Konten in der Kette ermöglicht.
Benutzer dieser Margin-Konten können ganze Wallets besichern, auf bis zu zehnmal mehr Kapital als ihr ursprünglicher Sicherheitenwert zugreifen und die hinterlegten Sicherheiten und das geliehene Kapital verwenden, um auf erlaubnislose Weise mit jedem anderen DeFi-Protokoll zu interagieren.
Kreditgeber stellen den Kreditpools von Arcadia Liquidität zur Verfügung und erzielen so passive Renditen.
Da sie nicht verwahrt wurden, konnten die Hacker Gelder nicht direkt aus den Wallets der Benutzer stehlen, sondern aus denen, die als Reserven für die Ausgabe der verpackten Token darcWETH und darcUSDC dienten.
Somit wurden weder darcWETH noch darcUSDC direkt aus den Wallets der Nutzer gestohlen, sondern WETH und USDC aus den Wallets, auf denen die Reserven gehalten wurden. Das bedeutet, dass es nicht mehr 1 WETH für jedes ausgegebene darcWETH und 1 USDC für jedes ausgegebene darcUSDC gibt, sodass Benutzer effektiv immer noch alle ihre verpackten Token haben, diese aber nicht mehr einlösen können.
Das Problem mit verpackten Token
Es wird oft gesagt, dass nicht verwahrte Geldbörsen sicher sind, wenn sie ordnungsgemäß aufbewahrt und gepflegt werden, aber manchmal liegen die Risiken bereits im Vorfeld.
Tatsächlich gibt es bei jeder nicht verwahrten Wallet kaum einen Unterschied zwischen der Speicherung von Original-Tokens wie USDC oder verpackten Tokens wie darcUSDC.
Allerdings bergen verpackte Token ein zusätzliches Risiko. Tatsächlich erfolgt die Verwahrung der Sicherheiten nicht durch die Nutzer selbst auf ihren nicht verwahrten Wallets, sondern durch die Verwalter der verpackten Token.
Tatsächlich unterscheidet sich dies nicht wesentlich von einem Custodial Wallet, da die Verwahrung der Sicherheiten in gewisser Weise der Verwahrung der verpackten Token gleichkommt.
Selbst wenn die Wallets von Benutzern, die verpackte Token besitzen, nicht verletzt werden, können Benutzer im Falle eines Verstoßes gegen die Reserve-Wallets dennoch ihr Geld verlieren, einfach weil sie die verpackten Token zwar noch haben, diese aber nicht mehr einlösen können. Ihr tatsächlicher Wert geht auf diese Weise effektiv gegen Null.
Dies gilt tatsächlich auch für USDC, denn obwohl es sich nicht um einen verpackten Token handelt, handelt es sich um einen besicherten Stablecoin, das heißt, er verfügt über Reserven als Sicherheit, die von einer einzelnen Einheit (Circle) gehalten und verwaltet werden.
Die Auswirkungen des Hacks auf die Kryptomärkte
Die Auswirkungen dieses Hacks auf die Kryptomärkte waren nahezu Null, wenn wir die verpackten Token darcWETH und darcUSDC ausschließen.
OP, der native Token von Optimism, hat ebenfalls keine ernsthaften Verluste erlitten, so dass sich sein Preis heute im Einklang mit denen vieler anderer ähnlicher Token bewegte.
Andererseits sind 455,000 US-Dollar nicht so viel, und die Kryptomärkte haben sich mittlerweile zur Gewohnheit entwickelt, DeFi-Protokolle dieser Art zu stehlen.
Darüber hinaus geht es bei DeFi nicht um Bitcoin, und derzeit bestimmt Bitcoin den Trend auf den Kryptomärkten.
Situationen wie diese dienen lediglich dazu, ein besseres Verständnis der Risiken zu vermitteln, die mit der Verwendung von DeFi-Protokollen verbunden sind, insbesondere wenn diese wie im Fall verpackter Token verborgen sind.
Etwas viel Schlimmeres war im März passiert, als festgestellt wurde, dass Circle einen erheblichen Teil der USDC-Reserven der gescheiterten Silvergate-Bank hielt, so dass man für einen Moment befürchtete, dass der Stablecoin seine Bindung an den Dollar verlieren könnte.
Doch dann intervenierte die US-Notenbank direkt, um alle Defizite zu decken und gab so allen Silvergate-Einlegern ihr gesamtes Geld zurück.
Quelle: https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/