阿卡迪亚金融黑客利用了重入漏洞,团队要求归还资金

'阿卡迪亚金融黑客利用重入漏洞,要求归还资金'

根据应用程序开发团队发布的7月10日事后报告,Arcadia Finance的攻击者利用了重入漏洞从去中心化金融(DeFi)协议中窃取了45.5万美元。”重入漏洞”是一种允许攻击者在多步骤过程中”重新进入”合约或中断合约的漏洞,从而阻止该过程正确完成。

团队已向攻击者发出信息,要求其在24小时内归还资金,并威胁称如果其不遵守,将采取警方行动。

关于正在进行的情况的事后报告,提供技术概述并分享更多关于下一步的信息。https://t.co/NPNbbSzKBQ

– Arcadia Finance (@ArcadiaFi) 2023年7月10日

Arcadia Finance在7月10日早上遭受攻击,价值45.5万美元的加密货币被窃取。区块链安全公司Peckshield的初步报告指出,攻击者利用了应用程序合约中的”缺乏不可信输入验证”来窃取资金。Arcadia团队否认了这一点,称Peckshield的分析是错误的。然而,该团队当时没有解释他们认为原因是什么。

Arcadia的新报告指出,该应用程序的”liquidateVault()”函数没有包含重入检查。这使得攻击者可以在健康检查完成之前调用该函数,但在攻击者提取资金之后。结果,攻击者可以借款而无需偿还,从协议中窃取资金。

团队现已暂停合约,并正在努力修补此漏洞。

攻击者首先从Aave借了20672美元的美元币(USDC),并将其存入Arcadia的保险库。接下来,他们使用该保险库抵押品从Arcadia流动性池中借了103210美元的USDC。这是通过一个名为”doActionWithLeverage()”的函数实现的,该函数允许用户借款,但前提是他们的账户在区块结束时仍然健康。

攻击者将103210美元存入保险库,使总资金达到123882美元。然后他们提取了所有资金,使保险库没有资产,欠下103210美元的债务。

理论上,这应该导致所有操作回滚,因为提取资金应导致账户无法通过健康检查。然而,攻击者使用恶意合约在健康检查开始之前调用了liquidateVault()函数。保险库被清算,消除了所有债务。结果,保险库没有资产和负债,使其能够通过健康检查。

由于在所有交易完成后账户通过了健康检查,没有交易被回滚,池中的资金被窃取了103210美元。攻击者在同一区块内偿还了Aave的贷款。他们多次重复这种利用方式,从Optimism和Ethereum的池中共窃取了45.5万美元。

Arcadia团队在报告中反驳了攻击是由不可信输入引起的说法,并称这种所谓的漏洞不是攻击中的”核心问题”。

相关: Circle, Tether冻结从Multichain转移的6500万美元资产

Arcadia团队在Optimism交易的输入数据字段中向攻击者发布了一条消息,内容如下:

“我们了解到您参与了Arcadia Finance的攻击。我们正在与安全专家和执法部门积极合作。您在BNB上的TC存款和取款速度有些太快,如今很难在网上隐藏您的身份。如果在接下来的24小时内未归还任何资金,我们将与执法部门加强合作。”

Arcadia在报告中声称已经找到了一些追踪攻击者的有希望的线索。他们表示:”除了获取与中心化交易所相关的地址外,我们还发现了与其他协议以前的攻击相关的链接。团队正在对链上和链下数据进行全面调查,并有多个线索。”

在2023年,DeFi领域的漏洞和骗局一直是持续存在的问题。Certik的7月5日报告称,今年第二季度由于漏洞导致损失超过3亿美元。