DeFi-протокол Arcadia Finance стал жертвой хакерской атаки на $455 тыс.

3275

2 мин

Эксперты из компании по безопасности блокчейнов Beosin отметили, что сегодня, 10 июля 2023 года, был взломан очередной протокол децентрализованных финансов (DeFi). Речь шла об Arcadia Finance. По словам специалистов, злоумышленники похитили около $455 тыс. в сетях Ethereum и Optimism.

После того, как киберпреступники осуществили эксплойт протокола, они отправили примерно $332 тыс. через сервис микширования Tornado Cash. Как правило, данный инструмент используется для отмывания средств и «запутывания следов». По мнению экспертов, основной причиной успеха данной атаки стало «отсутствие проверки параметров ввода злоумышленника». Это позволило хакеру «одобрить заемные средства для вредоносного контракта».

По словам исследователей, атаке способствовали 3 причины: «кредитное плечо, контролируемые данные действий и повторный вход». Аналитики отметили, что киберпреступник использовал популярную функцию мгновенного кредита (flashloan) и таким образом успешно взломал Arcadia Finance.

Исследователи безопасности блокчейнов объяснили, как хакеру удалось успешно осуществить задуманное. Злоумышленник вызвал функцию doActionWithLeverage, чтобы увеличить сумму средств в 5 раз и внести депозит в контракт ActionMultiCall. Затем он передал вредоносный файл actionData.

Поскольку данный параметр не требует никаких проверок, киберпреступник «смог утвердить WETH и USDC для вредоносного контракта с разрешением», а затем вызвать функцию transferFrom() для перевода одобренных средств.

Специалисты из Beosin пояснили: так как контракт будет проверять на предмет, являются ли средства «нормальными» после перевода, злоумышленнику необходимо повторно ввести контракт с кредитным плечом. Это позволило выполнить процедуру ликвидации и таким образом обойти валидацию.

Автор

Петр Иванов

Понравилась новость? Поделись мнением!

Комментарии

Оставить комментарий

Комментариев пока нет

Интересное по инвестиции

BlackRock возьмёт 18% комиссии с вознаграждений за стейкинг в Ethereum ETF

Аналитик Bloomberg Джеймс Сейффарт сообщил, что BlackRock подала обновлённую заявку на регистрацию Ethereum ETF со стейкингом под тикером ETHB. В документе указан годовой коэффициент расходов 0,25%, а также комиссия 18% от общей суммы вознаграждений за стейкинг фонда.

Jane Street нарастила долю в IBIT на 7 105 206 акций в IV квартале, усилив слухи о давлении на BTC

Jane Street в IV квартале прошлого года увеличила пакет IBIT на 7 105 206 акций на сумму $276 млн, следует из данных quiverquant. Сейчас у компании 20 315 780 акций IBIT на $790 млн, а в криптосообществе вновь обсуждают версию, что фирма могла использовать высокочастотную торговлю, чтобы давить на цену BTC каждый день в 10:00 по восточному времени. BlackRock и Morgan Stanley также нарастили позиции более чем на 2,37 миллиона акций IBIT за тот же период.

StarkWare внедрит технологию конфиденциальности EY Nightfall в StarkNet

StarkWare интегрирует решение для приватных транзакций Nightfall от EY в StarkNet, чтобы институциональные пользователи могли проводить операции в публичной блокчейн-инфраструктуре без раскрытия чувствительных данных. Технология позволит делать приватные B2B-платежи, операции с фондами и переводы токенизированных активов, а также поддержит выборочное раскрытие информации и соблюдение требований вроде KYC.

BTC краткосрочно опускался ниже $67 000, потеряв 1,64% за час

BTC на короткое время опустился ниже $67 000 и сейчас торгуется по $67 042,54. За последний час цена снизилась на 1,64% по данным рынка HTX.

DDC увеличила резервы BTC до 2068 монет, купив еще 80 BTC

DDC Enterprise Limited (NYSE American: dDC) сообщила о покупке 80 BTC, после чего ее общий запас биткоина вырос до 2068 BTC. Это шестая неделя подряд, когда компания докупает BTC, а с начала 2026 года ее биткоин-резервы увеличились на 74,8%. Средняя цена покупки составила $84 944 за BTC, доходность BTC с начала года — 45,6%, а показатель на 1000 акций — 0,057887 BTC.