Arcadia Finance приєдналася до зростаючого списку протоколів DeFi, які втрачають кошти під час злому. Хакери використали вразливість коду, щоб викачати близько 455 000 доларів США зі сховищ Ethereum і Optimism протоколу.
Розшук блокчейну PeckShield попередив про використання Arcadia у твіті 9 липня. У твіті PeckShield також зазначив причину атаки.
Хакер Arcadia Finance використав уразливість коду контракту для очищення коштів
У твіті виявилося, що зловмисники скористалися «відсутністю ненадійної перевірки введення» для здійснення незаконної транзакції. PeckShield зазначив, що в контрактному коді Arcadia Finance відсутній механізм перевірки для перехресної перевірки неперевірених вхідних даних.
Лазівка дозволила хакеру вивести приблизно 445 000 доларів криптоактиви зі сховищ протоколу Ethereum (darcWETH) і Optimism (darcUSDC).
Аркадія Фінанс має підтверджено хакерська атака, але самотня через дві години після оновлення PeckShield. У протоколі зазначено, що контракти призупинені для запобігання подальшому витоку коштів.
Команда повідомила, що працює з експертами з безпеки, щоб розслідувати першопричину інциденту, і поділиться додатковою інформацією, щойно вона з’явиться.
Поки триває розслідування першопричини атаки, PeckShield зробив ще одне вражаюче відкриття. Фірма безпеки блокчейну заявила, що знайшла ще одну вразливість у коді Arcadia, яку хакери могли дослідити, щоб викрасти більше коштів.
«Крім того, бракує захисту від повторного входу, що дозволяє миттєвій ліквідації обійти внутрішню перевірку працездатності сховища», — PeckShield. сказав.
Більшість вкрадених коштів, близько 180 ETH, надійшли зі сховища Optimism. А за даними PeckShield, хакери вже відмили кошти через Tornado Cash.
Але вкрадений Ethereum, який на момент публікації коштував понад 103 000 доларів, все ще знаходиться на підозрюваній адресі гаманця, оскільки хакер ще не перемістив його.
Звіт про хакерські атаки DeFi за 2 квартал 2023 року
Злом використання протоколу DeFi стає все більш проблематичним. Лише у другому кварталі 2023 року простір DeFi втратив понад 300 мільйонів доларів криптоактивів через хакерські атаки.
За даними фірми безпеки блокчейну, щоквартально CertiK звіт, протоколи Web3 зафіксували 212 інцидентів порушення безпеки у другому кварталі, що призвело до збитків у розмірі 313 566 528 доларів США. Однак CertiK виявив, що інциденти криптозлому зменшилися на 58% із 745 мільйонів доларів, зафіксованих у другому кварталі 2022 року.
За даними CertiK, більшість хакерських атак відбулися на BNB Smart Chain, що склало 119 хакерських інцидентів із втратою коштів на суму 70 711 385 мільйонів доларів.
З іншого боку, Ethereum зафіксував 55 інцидентів злому, що призвело до збитків у розмірі 65 999 953 доларів.
Крім того, у другому кварталі 2023 року збитки від маніпуляцій Oracle і екстрених кредитів різко скоротилися, ніж у першому кварталі.
У першому кварталі 2023 року було зареєстровано 52 маніпуляційні атаки Oracle із збитками в розмірі 222 мільйонів доларів. З цієї партії на хакерську атаку Euler Finance припало 85%.