" Хакер вывел около 455 000 долларов из некастодиального протокола децентрализованного финансирования (DeFi) Arcadia Finance, воспользовавшись уязвимостью в коде.
Исследователь блокчейна PeckShield предупредил о взломе Arcadia Finance, выделив «отсутствие ненадежной проверки ввода», как причину. В коде якобы отсутствовал механизм перекрестной проверки непроверенных входных данных. Эта лазейка позволила хакеру вывести средства на сумму около 455 000 долларов из хранилищ Ethereum (darcWETH) и Optimism (darcUSDC).
Код Arcadia Finance не требовал проверки входных данных. Источник: PeckShield
Однако команда Arcadia Finance сообщила, что основная причина, на которую указывает PeckShield, неверна.
Arcadia Finance подтвердила взлом через два часа после сообщения PeckShield и впоследствии приостановила исполнение контрактов, чтобы предотвратить дальнейшую утечку средств.
«Нам известно о потенциальной уязвимости в нашем протоколе. Мы приостановили действие контрактов и сейчас вместе с экспертами по безопасности расследуем первопричину. Дополнительная информация будет следовать по мере ее поступления», — говорится в сообщении Arcadia Finance (@ArcadiaFi) 10 июля 2023 г.
Пока идет расследование, в коде Arcadia есть еще одна уязвимость, которая может оказаться катастрофической для протокола в случае ее использования. Согласно PeckShield:
«Кроме того, отсутствует защита от повторного входа, что позволяет мгновенной ликвидации обойти внутреннюю проверку работоспособности хранилища».
Большая часть украденных средств была получена от взлома приложения на Optimism — примерно 180 эфиров (ETH) — и была отмыта через Tornado Cash. Однако украденные токены на Ethereum стоимостью более 103 000 долларов на момент написания статьи остаются на адресе подозреваемого кошелька.
Во втором квартале 2023 года взломы и эксплойты в криптопространстве привели к совокупным потерям в размере более 300 миллионов долларов.
Отчет компании CertiK, занимающейся безопасностью блокчейнов, показал, что за квартал было зарегистрировано 212 инцидентов безопасности, что привело к убыткам в размере 313 566 528 долларов США для протоколов Web3.
По сравнению с данными за второй квартал предыдущего года, CertiK обнаружил, что количество взломов криптовалюты снизилось на 58%. Из всех случаев наибольшее количество инцидентов было зафиксировано в BNB Smart Chain: 119 инцидентов привели к убыткам в размере 70 711 385 долларов США.
