アルカディアファイナンスのハッカーは、リエントラントエクスプロイトを使用し、チームは資金の返還を要求しています

Arcadia Financeのハッカーがリエントラントエクスプロイトを使用し、チームは資金の返還を要求しています

アーケイディア・ファイナンスの攻撃者は、分散型ファイナンス（DeFi）プロトコルから$455,000を抜き取るために再入エクスプロイトを使用しました。これはアプリの開発チームによって発行された7月10日の事後報告書によって明らかにされています。「再入エクスプロイト」とは、攻撃者が契約に「再入」したり、マルチステッププロセス中に割り込んだりして、プロセスが正しく完了しないようにするバグのことです。

チームは、攻撃者に24時間以内に資金の返還を要求し、それに応じない場合は警察に対して行動を起こすと脅しました。

続行中の状況のポストモーテムで、技術的な概要を提供し、次のステップに関する詳細情報を共有しています。https://t.co/NPNbbSzKBQ

— Arcadia Finance (@ArcadiaFi) July 10, 2023

• 暗号通貨投資商品、3週連続で資金流入の記録を達成
• Grayscale Bitcoin Trust（GBTC）株は現在買い時でしょうか？
• 新しいAI搭載のシバメニュープロジェクトのプレセールが、大きな投資家の注目を集めています

アーケイディア・ファイナンスは7月10日の朝に攻撃を受け、$455,000相当の暗号通貨が抜き取られました。ブロックチェーンセキュリティ企業Peckshieldの予備的な報告書によると、攻撃者はアプリの契約における「信頼できない入力の検証不足」を利用して資金を抜き取ったとされています。アーケイディア・チームはこれを否定し、Peckshieldの分析が間違っていると述べました。ただし、当時のチームは原因について説明していませんでした。

新しいアーケイディアの報告書によると、アプリの「liquidateVault()」機能には再入チェックが含まれていませんでした。これにより、攻撃者はヘルスチェックが完了する前にこの関数を呼び出すことができましたが、攻撃者は既に資金を引き出していました。その結果、攻撃者は資金を借りることができ、返済せずにプロトコルからそれらを抜き取ることができました。

チームは現在、契約を一時停止し、この抜け道を塞ぐためのパッチを開発しています。

攻撃者はまず、Aaveから$20,672のUS Dollar Coin（USDC）のフラッシュローンを受け取り、それをアーケイディアの保管庫に預け入れました。次に、この保管庫の担保を使用して、アーケイディアの流動性プールから$103,210のUSDCを借り入れました。これは、「doActionWithLeverage()」という関数を介して実現されます。この関数は、ユーザーがアカウントがブロックの終わりまで健全である場合にのみ資金を借りることができるようにします。

攻撃者は$103,210を保管庫に預け入れ、合計資金は$123,882になりました。その後、すべての資金を引き出し、保管庫には資産がなく、$103,210の負債が残る状態になりました。

理論的には、これによりすべてのアクションが元に戻るはずであり、資金を引き出すことでアカウントがヘルスチェックに失敗するはずでした。しかし、攻撃者は悪意のある契約を使用して、ヘルスチェックが開始される前に「liquidateVault()」を呼び出しました。保管庫は清算され、すべての負債がなくなりました。その結果、保管庫には資産も負債もなくなり、ヘルスチェックに合格することができました。

全てのトランザクションが終了した後にアカウントがヘルスチェックに合格したため、いかなるトランザクションも元に戻されず、OptimismとEthereumのプールは$103,210を抜き取られました。攻撃者はAaveへの融資を同じブロック内で返済しました。彼らはこのエクスプロイトを複数回繰り返し、OptimismとEthereumのプールから合計$455,000を抜き取りました。

アーケイディアの報告書では、エクスプロイトが信頼できない入力によって引き起こされたという主張に反論しており、この主張された脆弱性が攻撃の「核心の問題」ではないと述べています。

関連記事: Circle、TetherがMultichainから転送された$65Mの資産を凍結

アーケイディアのチームは、Optimismのトランザクションの入力データフィールドを使用して攻撃者にメッセージを投稿しました。その中で以下のように述べています：

「アーケイディア・ファイナンスのエクスプロイトに関与していると理解しています。私たちはセキュリティの専門家や法執行機関と積極的に協力しています。BNB上のあなたのTCの入金と出金が少し速すぎます。近年、オンラインで自分のアイデンティティを隠すことは難しくなっています。次の24時間以内に資金が返還されない場合、私たちは法執行機関に対してこの問題を拡大します。」

アーケイディアの報告書では、攻撃者を追跡するための有望な手がかりを見つけたと主張しています。「中央集権化取引所にリンクされたアドレスを取得するだけでなく、他のプロトコルの以前のエクスプロイトとの関連も明らかにしました。チームはオンチェーンおよびオフチェーンのデータを最大限に調査し、複数の手がかりを持っています。」

2023年のDeFi空間では、エクスプロイトや詐欺が継続的な問題となっています。Certikの7月5日の報告書によると、今年第2四半期には$300 million以上がエクスプロイトによって失われました。

We will continue to update Kocoo; if you have any questions or suggestions, please contact us!