Un nouveau hack crypto a été découvert aujourd’hui : cette fois, le protocole DeFi Arcadia Finance sur les chaînes Ethereum et Optimism a été attaqué avec succès.
PeckShieldAlert a annoncé la nouvelle sur Twitter, rapportant que le piratage avait rapporté environ 455,000 XNUMX $ aux attaquants.
Le piratage a également été confirmé plus tard par les opérateurs d'Arcadia Finance eux-mêmes.
Après quelques heures, ils ont signalé qu'ils étaient parvenus à prendre contact avec le pirate informatique et qu'ils travaillaient avec leurs partenaires de sécurité, les forces de l'ordre et la communauté pour résoudre le problème du mieux qu'ils pouvaient dans le but de récupérer les fonds pour utilisateurs du protocole.
Le bug qui a conduit au piratage crypto
Selon PeckShield, le piratage du contrat intelligent d'Arcadia Finance était dû à l'exploitation d'une validation d'entrée non fiable pour drainer les fonds des réserves darcWETH et darcUSDC.
darcWETH et darcUSDC sont deux jetons Arcadia Finance enveloppés, ils détiennent donc chacun des réserves.
Théoriquement, pour chaque jeton darcWETH, il devrait y avoir un jeton WETH dans les réserves, et pour chaque jeton darcUSDC, il devrait y avoir un jeton USDC.
Évidemment, le contrat intelligent qui gère les réserves de ces deux tokens enveloppés présentait un bug que les attaquants ont pu exploiter.
De plus, PeckShield a découvert un manque de protection contre la réentrée dans ces contrats intelligents, ce qui permettait ainsi au règlement instantané de contourner le contrôle d'état interne du gestionnaire de réserves.
Pour être honnête, Arcadia a ensuite réfuté cette reconstruction, mais n'a pas été en mesure de fournir une explication alternative.
La plupart des fonds ont été volés sur la chaîne d'Optimism, puis déplacés grâce à Tornado Cash afin d'en perdre la trace.
Le protocole Arcadia Finance
Arcadia Finance est un protocole DeFi sur Ethereum et Optimism qui ne possède pas son propre token natif.
Avant le piratage, sa TVL était d'environ 600,000 145,000 $, tandis qu'après le vol, elle a chuté à XNUMX XNUMX $.
Il s'agit d'un protocole non dépositaire qui permet la composition de comptes à marge croisée en chaîne.
Les utilisateurs de ces comptes sur marge peuvent garantir des portefeuilles entiers, accéder à un capital jusqu'à 10 fois supérieur à la valeur de leur garantie initiale et utiliser la garantie déposée et le capital emprunté pour interagir avec tout autre protocole DeFi sans autorisation.
Les prêteurs fournissent des liquidités aux pools de prêts d'Arcadia, générant ainsi des rendements passifs.
N'étant pas dépositaires, les pirates n'ont pas pu voler les fonds directement dans les portefeuilles des utilisateurs, mais plutôt dans ceux utilisés comme réserves pour émettre les jetons enveloppés darcWETH et darcUSDC.
Ainsi, aucun darcWETH ou darcUSDC n'a été volé directement dans les portefeuilles des utilisateurs, mais WETH et USDC ont été volés dans les portefeuilles sur lesquels étaient détenues les réserves. Cela signifie qu'il n'y a plus 1 WETH pour chaque darcWETH émis, ni 1 USDC pour chaque darcUSDC émis, donc effectivement les utilisateurs ont toujours tous leurs jetons enveloppés mais ne peuvent plus les échanger.
Le problème avec les jetons enveloppés
On dit souvent que les portefeuilles non dépositaires sont sûrs s’ils sont stockés et entretenus correctement, mais les risques se situent parfois en amont.
En effet, pour tout portefeuille non dépositaire, il y a peu de différence entre le stockage des jetons originaux, tels que l'USDC, ou des jetons enveloppés, tels que darcUSDC.
Cependant, les jetons enveloppés comportent une couche de risque supplémentaire. En fait, la garde du collatéral n'est pas assurée par les utilisateurs eux-mêmes sur leurs portefeuilles non dépositaires, mais par les gestionnaires des tokens enveloppés.
En fait, ce n’est pas très différent d’un portefeuille de garde, puisque la garde de la garantie équivaut en quelque sorte à la garde des jetons emballés.
Par conséquent, même si les portefeuilles des utilisateurs détenant des jetons enveloppés ne sont pas violés, en cas de violation des portefeuilles de réserve, les utilisateurs peuvent toujours perdre leurs fonds, simplement parce que tant qu'ils ont encore les jetons enveloppés, ils ne peuvent plus les racheter. Leur valeur réelle tend ainsi vers zéro.
Cela s'applique également à l'USDC, car même s'il ne s'agit pas d'un jeton enveloppé, il s'agit d'un stablecoin garanti, ce qui signifie qu'il a des réserves en garantie, qui sont détenues et gérées par une seule entité (Circle).
L'impact du piratage sur les marchés de la cryptographie
L’impact de ce hack sur les marchés cryptographiques a été quasiment nul, si l’on exclut les tokens enveloppés darcWETH et darcUSDC.
OP, qui est le jeton natif d'Optimism, n'a pas non plus subi de pertes sérieuses, à tel point que son prix a aujourd'hui évolué en ligne avec celui de nombreux autres jetons similaires.
Là encore, 455,000 XNUMX $, ce n’est pas grand-chose, et les marchés de la cryptographie ont désormais développé une habitude de ce type de vol sur les protocoles DeFi.
De plus, DeFi ne concerne pas Bitcoin, et à l’heure actuelle, c’est Bitcoin qui dicte la tendance sur les marchés de la cryptographie.
Des situations comme celle-ci ne servent qu’à mieux comprendre les risques liés à l’utilisation des protocoles DeFi, notamment lorsqu’ils sont cachés comme dans le cas des tokens enveloppés.
Quelque chose de bien pire s'est produit en mars, lorsqu'il a été découvert que Circle détenait une partie importante des réserves de l'USDC sur la banque Silvergate en faillite, à tel point qu'on a un instant craint que le stablecoin ne perde son ancrage avec le dollar.
Mais ensuite, la banque centrale américaine est intervenue directement pour combler tous les déficits, restituant ainsi tous leurs fonds à tous les déposants du Silvergate.
Source : https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ethereum-optimism/