DeFiأخبار ساخنةمقالات

ثغرة إعادة الدخول تم استخدامها في اختراق Arcadia Finance، وفريق التطوير يطالب بإعادة الأموال المسروقة.

في تقرير ما بعد الحادث، قال مطورو Arcadia Finance إن المهاجم سرق الأموال عن طريق تحويل الصندوق إلى نقود معدنية قبل أن يتمكن من إجراء فحص صحي، مما أدى إلى تعطل التدفق الطبيعي لعمليات التطبيق.

وفقًا لتقرير ما بعد الحادث الصادر عن فريق تطوير التطبيق، استخدم مهاجم Arcadia Finance ثغرة إعادة الدخول لسرقة 455000 دولار من بروتوكول التمويل اللامركزي (DeFi). “ثغرة إعادة الدخول” هي عبارة عن خلل يسمح للمهاجم بـ “الدخول مرة أخرى” إلى العقد أو تقطيعه خلال عملية متعددة الخطوات، مما يمنع اكتمال العملية بشكل صحيح.

وقد قام الفريق بإرسال رسالة إلى المهاجم يطالبون فيها بإعادة الأموال خلال 24 ساعة ويهددون باتخاذ إجراءات قانونية إذا لم يتم الامتثال لذلك.

التقرير النهائي حول الوضع الحالي لتطبيق Arcadia Finance، يتضمن نظرة فنية عامة ومشاركة المزيد من المعلومات حول الخطوات التالية. https://t.co/NPNbbSzKBQ

تم استغلال تطبيق Arcadia Finance في صباح يوم 10 يوليو وتم سرقة 455000 دولار من العملات المشفرة. وقد أفاد تقرير مبدئي من شركة أمن البلوكشين PeckShield بأن الهاكر استخدم “عدم التحقق من المدخلات غير الموثوقة” في عقود التطبيق لسحب الأموال. ونفى فريق Arcadia هذا، معتبرًا تحليل PeckShield خاطئًا. ومع ذلك، لم يشر الفريق إلى ما كان يعتقد أنه السبب في ذلك الوقت.

وأشار التقرير الجديد لـ Arcadia إلى أن “وظيفة ()liquidateVault” في التطبيق لم تحتوي على فحص لإعادة الدخول. وهذا ما سمح للمهاجم بالاتصال بالوظيفة قبل إجراء فحص صحي، لكن بعد سحب الأموال. وبنتيجة ذلك، يمكن للمهاجم اقتراض الأموال وعدم سدادها، مما يؤدي إلى استنزافها من البروتوكول.

وقد قام الفريق بإيقاف العقود الآن ويعمل على تصحيح الثغرة.

واستخدم الهاكر أولاً قرضًا فلاش من Aave بقيمة 20672 دولارًا من العملة المستقرة USD Coin (USDC) وإيداعه في صندوق Arcadia. ثم استخدم المهاجر هذا الضمان المستخدم في الصندوق لاقتراض 103210 دولارًا من USDC من بركة سيولة Arcadia. تم ذلك من خلال وظيفة ” () doActionWithLeverage” التي تسمح للمستخدمين بالاقتراض فقط إذا كان حسابهم يمكن أن يبقى صحيًا بحلول نهاية الكتلة.

قام المهاجم بإيداع 103210 دولار في الصندوق، مما رفع إجمالي الأموال إلى 123882 دولار. ثم سحب المهاجم جميع الأموال، مما ترك الصندوق بدون أصول وبـ 103210 دولار في دين.

نظريًا، كان يجب أن تعيد جميع الإجراءات كما كانت، حيث ينبغي أن يؤدي سحب الأموال إلى فشل الحساب في الفحص الصحي. ومع ذلك، استخدم المهاجم عقدًا خبيثًا لاستدعاء وظيفة “liquidateVault()” قبل أن يتمكن من إجراء الفحص الصحي. تم تصفية الصندوق، مما أدى إلى القضاء على جميع ديونه. وعلى نتيجة ذلك، تبقى له صندوق بدون أصول ودون التزامات، مما يسمح له بالنجاح في الفحص الصحي.

ونظرًا لأن الحساب اجتاز الفحص الصحي بعد الانتهاء من جميع المعاملات، فلم تتم إلغاء أي من المعاملات، وتم استنزاف بركة السيولة بمبلغ 103210 دولار. وقام المهاجم بسداد القرض من Aave في نفس الكتلة. وقام المهاجم بتكرار هذا الاستغلال عدة مرات، مما أدى إلى استنزاف إجمالي قيمته 455000 دولار من البركات على Optimism و Ethereum.

وفي تقريرها، عارضت فريق Arcadia الادعاءات بأن الاستغلال تسبب فيه إدخال غير موثوق به، وأكدت أن هذا الضعف المزعوم ليس “المسألة الأساسية” في الهجوم.

نشر فريق Arcadia رسالة للمهاجم باستخدام حقل بيانات المدخلات لمعاملة Optimism، معلنًا:

“نحن ندرك أنك متورط في استغلال Arcadia Finance. نحن نعمل بنشاط مع خبراء الأمن والشرطة. كانت إيداعاتك وسحوباتك من TC على BNB سريعة إلى حد ما، ومن الصعب إخفاء هويتك على الإنترنت في هذه الأيام. سنتصعد في هذا الأمر مع الشرطة في حال عدم إرجاع أي أموال خلال الـ 24 ساعة القادمة.”

في تقريرها، زعمت Arcadia أنها وجدت بعض الأدلة الواعدة لتعقب المهاجم. وقال التقرير: “بالإضافة إلى الحصول على عناوين مرتبطة بالبورصات المركزية، اكتشفنا أيضًا روابطًا بين هذا الاستغلال واستغلالات سابقة لبروتوكولات أخرى.” وأضاف التقرير: “يقوم الفريق بالتحقيق في البيانات داخل وخارج الشبكة بأقصى درجات الكفاءة ولديه عدة مؤشرات.”

الاستغلالات والعمليات الاحتيالية كانت مشكلة مستمرة في مجال DeFi في عام 2023. وفي تقرير صادر عن CertiK في 5 يوليو، ذكر أن أكثر من 300 مليون دولار تم فقدانها بسبب استغلالات في الربع الثاني من العام.

زر الذهاب إلى الأعلى