Peretasan crypto baru di Ethereum dan Optimisme

Peretasan kripto baru ditemukan hari ini: kali ini protokol DeFi Arcadia Finance pada rantai Ethereum dan Optimisme berhasil diserang.

PeckShieldAlert menyampaikan berita di Twitter, melaporkan bahwa peretasan itu menjaring para penyerang sekitar $455,000.

Peretasan itu juga kemudian dikonfirmasi oleh operator Arcadia Finance sendiri.

Kami menyadari potensi eksploitasi dalam protokol kami.
Kami telah menghentikan kontrak dan sedang menyelidiki akar penyebabnya dengan pakar keamanan saat kami berbicara. Info lebih lanjut akan mengikuti saat tersedia.
— Keuangan Arcadia (@ArcadiaFi) Juli 10, 2023

Setelah beberapa jam, mereka melaporkan bahwa mereka dapat melakukan kontak dengan peretas, dan bahwa mereka bekerja sama dengan mitra keamanan, penegak hukum, dan komunitas mereka untuk memecahkan masalah sebaik mungkin dalam upaya memulihkan dana untuk pengguna protokol.

Bug yang menyebabkan peretasan crypto

Menurut PeckShield, peretasan kontrak pintar Arcadia Finance disebabkan oleh validasi input yang tidak dipercaya yang dieksploitasi untuk menguras dana dari cadangan darcWETH dan darcUSDC.

darcWETH dan darcUSDC adalah dua token Arcadia Finance yang dibungkus, sehingga masing-masing memiliki cadangan.

Secara teoritis untuk setiap token darcWETH harus ada token WETH di cadangan, dan untuk setiap token darcUSDC harus ada token USDC.

Terbukti smart contract yang mengelola cadangan dari dua token yang dibungkus ini memiliki bug yang dapat dieksploitasi oleh penyerang.

Selain itu, PeckShield menemukan kurangnya perlindungan masuk kembali dalam kontrak pintar ini, yang dengan cara ini memungkinkan penyelesaian instan melewati pemeriksaan keadaan internal dari manajer cadangan.

Selain itu, ada kurangnya perlindungan reentrancy, yang memungkinkan likuidasi instan melewati pemeriksaan kesehatan internal vault. pic.twitter.com/Am58ZOvgQJ
- PeckShield Inc. (@peckshield) Juli 10, 2023

Agar adil, Arcadia kemudian membantah rekonstruksi ini, tetapi tidak dapat memberikan penjelasan alternatif.

Sebagian besar dana dicuri dari rantai Optimisme, dan kemudian dipindahkan berkat Tornado Cash agar kehilangan jejaknya.

Protokol Arcadia Finance

Arcadia Finance adalah protokol DeFi pada Ethereum dan Optimisme yang tidak memiliki token aslinya sendiri.

Sebelum diretas, TVL-nya berharga sekitar $600,000, sedangkan setelah pencurian, harganya anjlok menjadi $145,000.

Ini adalah protokol non-penahanan yang memungkinkan komposisi akun lintas margin on-chain.

Pengguna akun margin ini dapat mengagunkan seluruh dompet, mengakses modal hingga 10 kali lebih banyak dari nilai agunan awalnya, dan menggunakan agunan yang disimpan dan modal pinjaman untuk berinteraksi dengan protokol DeFi lainnya dengan cara tanpa izin.

Pemberi pinjaman menyediakan likuiditas ke kumpulan pinjaman Arcadia, menghasilkan pengembalian pasif.

Menjadi non-penahanan, para peretas tidak dapat mencuri dana langsung dari dompet pengguna, melainkan dari yang digunakan sebagai cadangan untuk mengeluarkan token darcWETH dan darcUSDC yang dibungkus.

Jadi, tidak ada darcWETH atau darcUSDC yang dicuri langsung dari dompet pengguna, tetapi WETH dan USDC dicuri dari dompet tempat penyimpanan cadangan. Ini berarti bahwa tidak ada lagi 1 WETH untuk setiap darcWETH yang dikeluarkan, dan 1 USDC untuk setiap darcUSDC yang dikeluarkan, jadi secara efektif pengguna masih memiliki semua token yang dibungkus tetapi tidak dapat lagi menebusnya.

Masalah dengan token yang dibungkus

Sering dikatakan bahwa dompet non-penahanan aman, jika disimpan dan dipelihara dengan baik, tetapi terkadang risikonya ada di hulu.

Memang, untuk dompet non-penahanan ada sedikit perbedaan dalam menyimpan token asli, seperti USDC, atau token terbungkus, seperti darcUSDC.

Namun, token yang dibungkus memiliki lapisan risiko tambahan. Faktanya, penjagaan agunan tidak dilakukan oleh pengguna sendiri di dompet non-penahanan mereka, tetapi oleh pengelola token yang dibungkus.

Nyatanya, ini tidak jauh berbeda dengan dompet kustodian, karena penjagaan agunan dalam beberapa hal setara dengan penjagaan token yang dibungkus.

Oleh karena itu, meskipun dompet pengguna yang memegang token terbungkus tidak dibobol, jika dompet cadangan dibobol, pengguna masih dapat kehilangan dana mereka, hanya karena mereka masih memiliki token terbungkus, mereka tidak dapat lagi menebusnya. Nilai sebenarnya mereka dengan cara ini secara efektif menjadi nol.

Ini sebenarnya juga berlaku untuk USDC, karena meskipun bukan token terbungkus, ini adalah stablecoin yang diagunkan, artinya memiliki cadangan sebagai agunan, yang dipegang dan dikelola oleh satu entitas (Circle).

Dampak pada pasar kripto dari peretasan yang terjadi

Dampak pada pasar crypto dari peretasan ini hampir nol, jika kami mengecualikan token darcWETH dan darcUSDC yang dibungkus.

OP, yang merupakan token asli Optimism, juga tidak mengalami kerugian serius, sedemikian rupa sehingga harganya hari ini bergerak sejalan dengan banyak token serupa lainnya.

Kemudian lagi, $455,000 tidak terlalu banyak, dan sekarang pasar crypto telah mengembangkan kebiasaan pencurian semacam ini pada protokol DeFi.

Selain itu, DeFi bukan tentang Bitcoin, dan saat ini Bitcoinlah yang mendikte tren di pasar crypto.

Situasi seperti ini hanya berfungsi untuk memberikan pemahaman yang lebih baik tentang risiko yang terlibat saat menggunakan protokol DeFi, terutama saat disembunyikan seperti dalam kasus token yang dibungkus.

Sesuatu yang jauh lebih buruk telah terjadi pada bulan Maret, ketika ditemukan bahwa Circle memegang sebagian besar cadangan USDC di bank Silvergate yang gagal, sedemikian rupa sehingga untuk sesaat dikhawatirkan bahwa stablecoin akan kehilangan pasaknya dengan dolar.

Tapi kemudian bank sentral AS melakukan intervensi langsung untuk menutupi semua kekurangan, sehingga mengembalikan semua dana mereka kepada semua deposan Silvergate.

Sumber: https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/