DeFi-протокол Arcadia Finance стал жертвой хакерской атаки на $455 тыс.

3291

2 мин

Эксперты из компании по безопасности блокчейнов Beosin отметили, что сегодня, 10 июля 2023 года, был взломан очередной протокол децентрализованных финансов (DeFi). Речь шла об Arcadia Finance. По словам специалистов, злоумышленники похитили около $455 тыс. в сетях Ethereum и Optimism.

После того, как киберпреступники осуществили эксплойт протокола, они отправили примерно $332 тыс. через сервис микширования Tornado Cash. Как правило, данный инструмент используется для отмывания средств и «запутывания следов». По мнению экспертов, основной причиной успеха данной атаки стало «отсутствие проверки параметров ввода злоумышленника». Это позволило хакеру «одобрить заемные средства для вредоносного контракта».

По словам исследователей, атаке способствовали 3 причины: «кредитное плечо, контролируемые данные действий и повторный вход». Аналитики отметили, что киберпреступник использовал популярную функцию мгновенного кредита (flashloan) и таким образом успешно взломал Arcadia Finance.

Исследователи безопасности блокчейнов объяснили, как хакеру удалось успешно осуществить задуманное. Злоумышленник вызвал функцию doActionWithLeverage, чтобы увеличить сумму средств в 5 раз и внести депозит в контракт ActionMultiCall. Затем он передал вредоносный файл actionData.

Поскольку данный параметр не требует никаких проверок, киберпреступник «смог утвердить WETH и USDC для вредоносного контракта с разрешением», а затем вызвать функцию transferFrom() для перевода одобренных средств.

Специалисты из Beosin пояснили: так как контракт будет проверять на предмет, являются ли средства «нормальными» после перевода, злоумышленнику необходимо повторно ввести контракт с кредитным плечом. Это позволило выполнить процедуру ликвидации и таким образом обойти валидацию.

Автор

Петр Иванов

Понравилась новость? Поделись мнением!

Комментарии

Оставить комментарий

Комментариев пока нет

Интересное по инвестиции

Ethereum Foundation задействовал DVT-lite для стейкинга 72 000 ETH, сообщил Виталик Бутерин

Виталик Бутерин сообщил, что Ethereum Foundation использует DVT-lite для стейкинга 72 000 ETH и рассчитывает упростить участие учреждений в децентрализованном стейкинге. По его словам, модель «работающей инфраструктуры» слишком сложна и может идти вразрез с децентрализацией, поэтому проблему нужно решать напрямую. Функцию планируют внедрить в ближайшее время, чтобы больше держателей ETH смогли стейкать таким способом.

Японские и южнокорейские акции растут на фоне снижения тревожности на рынках

Опасения из-за влияния конфликта на Ближнем Востоке ослабли, и японский и южнокорейский фондовые рынки открылись ростом. По данным Bitget, индекс Nikkei 225 превысил 54 000 пунктов, прибавив 2,65%, а KOSPI вырос на 5,4% до 5535,22 пункта.

Спотовое золото подешевело более чем на $20 за короткое время

Спотовое золото в ходе краткосрочных торгов снизилось более чем на $20 и сейчас торгуется по $5074,71 за унцию.

Zcash Open Development Lab привлекла более $25 миллионов на развитие экосистемы ZEC

Zcash Open Development Lab, основанная экс-главой Electric Coin Company Джошем Свихартом, завершила раунд финансирования более чем на $25 миллионов при участии Paradigm, a16z crypto, Winklevoss Capital, Coinbase Ventures и других инвесторов. Команда развивает кошелек Zodl и протокол Zcash, а также планирует превратить Zodl в открытую самоуправляемую платформу с упором на конфиденциальность. Проект нацелен на расширение сотрудничества в экосистеме и продвижение приватных транзакций ZEC на глобальном рынке.

Аналитик Bloomberg: токенизация не вытеснит ETF, но может сделать их глобальными через блокчейн

Аналитик Bloomberg Эрик Балчунас написал в соцсетях, что токенизация не заменит ETF, но может расширить к ним доступ. По его словам, это позволит перенести самые популярные ETF в блокчейн и открыть их для инвесторов из стран, где доступ к таким продуктам ограничен.