Bảng tỷ giá 
Bạn đang ở:
91 
Trong một báo cáo sau khi khám nghiệm tử thi, các nhà phát triển Arcadia Finance cho biết kẻ tấn công đã đánh cắp tiền bằng cách bán tháo kho tiền trước khi kho tiền có thể thực hiện test tình trạng, làm gián đoạn quy trình hoạt động bình thường của ứng dụng.
Kẻ tấn công Arcadia Finance đã sử dụng khai thác reentrancy để rút 455.000 USD từ giao thức tài chính phi tập trung (DeFi), theo báo cáo khám nghiệm tử thi ngày 10 tháng 7 do nhóm phát triển ứng dụng đưa ra. Khai thác reentrancy là một lỗi cho phép kẻ tấn công nhập lại hợp đồng hoặc làm gián đoạn hợp đồng trong một quy trình gồm nhiều bước, khiến quy trình không được hoàn thành đúng cách.
Nhóm đã gửi một thông báo tới kẻ tấn công yêu cầu trả lại tiền trong vòng 24 giờ và đe dọa hành động của cảnh sát nếu tin tặc không tuân thủ.
Post Mortem of ongoing situation, providing a technical overview and sharing more information on next steps.https://t.co/NPNbbSzKBQ
— Arcadia Finance (@ArcadiaFi) July 10, 2023
Arcadia Finance đã bị khai thác vào sáng ngày 10 tháng 7 và rút hết số tiền điện tử trị giá 455.000 đô la. Một báo cáo sơ bộ từ công ty bảo mật blockchain PeckShield tuyên bố rằng kẻ tấn công đã sử dụng việc thiếu xác thực đầu vào không đáng tin cậy trong các hợp đồng ứng dụng để rút tiền. Nhóm Arcadia đã phủ nhận điều này, nói rằng phân tích PeckShield là sai lầm. Tuy nhiên, nhóm đã không giải thích nguyên nhân mà họ nghĩ là gì vào thời điểm đó.
Báo cáo mới của Arcadia cho biết chức năng LiquidateVault() của ứng dụng không chứa test đăng nhập lại. Điều này cho phép kẻ tấn công gọi chức năng này trước khi quá trình test sức khỏe hoàn tất nhưng sau khi kẻ tấn công đã rút tiền. Do đó, kẻ tấn công có thể vay tiền và không trả lại, rút chúng khỏi giao thức.
Nhóm hiện đã tạm dừng các hợp đồng và đang nghiên cứu một bản vá để khắc phục lỗ hổng.
Đầu tiên, kẻ tấn công đã nhận một khoản vay chớp nhoáng từ Aave với số tiền USD Coin (USDC) trị giá 20.672 đô la và gửi vào kho tiền Arcadia. Tiếp theo, tin tặc đã sử dụng tài sản thế chấp kho tiền này để vay 103.210 USDC từ Pool thanh khoản của Arcadia. Điều này đã được thực hiện thông qua chức năng doActionWithLeverage() cho phép người dùng chỉ vay tiền nếu tài khoản của họ có thể duy trì hoạt động tốt vào cuối khối.
Kẻ tấn công đã gửi 103.210 đô la vào kho tiền, nâng tổng số tiền lên 123.882 đô la. Sau đó, tin tặc đã rút tất cả tiền, khiến kho tiền không còn tài sản và khoản nợ 103.210 USD.
Về mặt lý thuyết, điều này lẽ ra phải khiến tất cả các hành động hoàn nguyên, vì việc rút tiền lẽ ra phải khiến tài khoản không vượt qua được test sức khỏe. Tuy nhiên, kẻ tấn công đã sử dụng một hợp đồng độc hại để gọi hàm liquidateVault() trước khi quá trình test tình trạng có thể bắt đầu. Kho tiền đã được bán tháo, loại bỏ tất cả các khoản nợ của nó. Kết quả là, nó không có tài sản và không có nợ, cho phép nó vượt qua cuộc test sức khỏe.
Vì tài khoản đã vượt qua test sức khỏe sau khi tất cả các giao dịch được ký kết, nên không có giao dịch nào được hoàn nguyên và Pool đã bị rút hết $103.210. Kẻ tấn công đã trả lại khoản vay từ Aave trong cùng một khối. Tin tặc đã lặp lại cách khai thác này nhiều lần, rút tổng cộng 455.000 đô la từ Pool trên Optimism và Ethereum.
Trong báo cáo của mình, nhóm Arcadia đã phản bác lại những tuyên bố rằng việc khai thác là do đầu vào không đáng tin cậy gây ra, nói rằng lỗ hổng bị cáo buộc này không phải là vấn đề cốt lõi trong cuộc tấn công.
Nhóm Arcadia đã đăng một thông báo tới kẻ tấn công bằng cách sử dụng trường dữ liệu đầu vào của giao dịch Optimism, nêu rõ:
Chúng tôi hiểu rằng bạn có liên quan đến việc khai thác Arcadia Finance. Chúng tôi đang tích cực làm việc với các chuyên gia bảo mật và cơ quan thực thi pháp luật. Tiền gửi và rút TC của bạn trên BNB hơi quá nhanh, thật khó để che giấu danh tính của bạn trực tuyến trong những ngày này. Chúng tôi sẽ báo cáo vấn đề này với cơ quan thực thi pháp luật nếu không có bất kỳ khoản tiền nào được trả lại trong vòng 24 giờ tới.
Trong báo cáo của mình, Arcadia tuyên bố họ đã tìm thấy một số manh mối đầy hứa hẹn để truy tìm kẻ tấn công. Bên cạnh việc có được các địa chỉ được liên kết với nền tảng giao dịch tập trung, chúng tôi cũng phát hiện ra các liên kết đến các lần khai thác trước đây của các giao thức khác, báo cáo cho biết. Nhóm đang điều tra cả dữ liệu giao dịch và dữ liệu ngoài chuỗi ở mức độ đầy đủ nhất và có nhiều khách hàng tiềm năng.
Kẻ khai thác và lừa đảo vẫn tiếp tục là một vấn đề trong không gian DeFi vào năm 2023. Một báo cáo ngày 5 tháng 7 từ CertiK cho biết hơn 300 triệu đô la đã bị mất do khai thác trong quý hai của năm.
Theo CoinTelegraph
|
|
Tags: Tài chính arcadia, Hack, Khai thác, Reentrancy, Flash loan,
