L’attaquant d’Arcadia Finance a utilisé un exploit de réentrance pour drainer 455 000 $ du protocole de finance décentralisée (DeFi), selon un rapport post-mortem du 10 juillet publié par l’équipe de développement de l’application. Un « exploit de réentrance » est un bogue qui permet à un attaquant de « ressaisir » un contrat ou de l’interrompre au cours d’un processus en plusieurs étapes, empêchant le processus de se terminer correctement.
L’équipe a envoyé un message à l’attaquant exigeant le retour des fonds dans les 24 heures et menaçant d’action de la police si le pirate ne se conforme pas.
Post-mortem de la situation en cours, fournissant un aperçu technique et partageant plus d’informations sur les prochaines étapes.https://t.co/NPNbbSzKBQ
– Arcadia Finance (@ArcadiaFi) 10 juillet 2023
Arcadia Finance a été exploité le matin du 10 juillet et vidé de 455 000 $ de crypto. Un rapport préliminaire de la société de sécurité blockchain PeckShield a déclaré que l’attaquant avait utilisé un « manque de validation d’entrée non fiable » dans les contrats de l’application pour drainer les fonds. L’équipe d’Arcadia avait nié cela, déclarant que l’analyse de PeckShield était erronée. Cependant, l’équipe n’a pas expliqué ce qu’elle pensait être la cause à l’époque.
Le nouveau rapport Arcadia indiquait que la fonction « liquidateVault() » de l’application ne contenait pas de contrôle de réentrance. Cela a permis à l’attaquant d’appeler la fonction avant qu’un bilan de santé ne soit terminé, mais après que l’attaquant ait retiré des fonds. En conséquence, l’attaquant pourrait emprunter des fonds et ne pas les rembourser, les vidant du protocole.
L’équipe a maintenant suspendu les contrats et travaille sur un correctif pour combler l’échappatoire.
L’attaquant a d’abord contracté un prêt flash auprès d’Aave pour une valeur de 20 672 $ en USD Coin (USDC) et l’a déposé dans un coffre-fort Arcadia. Ensuite, le pirate a utilisé cette garantie de coffre-fort pour emprunter 103 210 $ USDC à un pool de liquidité Arcadia. Cela a été accompli grâce à une fonction « doActionWithLeverage() » qui permet aux utilisateurs d’emprunter des fonds uniquement si leur compte peut rester sain à la fin du bloc.
L’attaquant a déposé les 103 210 $ dans le coffre-fort, portant le total des fonds à 123 882 $. Le pirate a ensuite retiré tous les fonds, laissant le coffre-fort sans actifs et 103 210 $ de dettes.
Théoriquement, cela aurait dû entraîner l’annulation de toutes les actions, car le retrait des fonds aurait dû entraîner l’échec du contrôle de santé du compte. Cependant, l’attaquant a utilisé un contrat malveillant pour appeler liquidateVault() avant que la vérification de l’état ne puisse commencer. Le coffre-fort a été liquidé, éliminant toutes ses dettes. En conséquence, il s’est retrouvé avec zéro actif et zéro passif, ce qui lui a permis de passer le bilan de santé.
Étant donné que le compte a passé le bilan de santé après la conclusion de toutes les transactions, aucune des transactions n’a été annulée et le pool a été vidé de 103 210 $. L’attaquant a remboursé le prêt d’Aave dans le même bloc. Le pirate a répété cet exploit plusieurs fois, drainant un total de 455 000 $ des pools sur Optimism et Ethereum.
Dans son rapport, l’équipe d’Arcadia a repoussé les affirmations selon lesquelles l’exploit aurait été causé par une entrée non fiable, déclarant que cette prétendue vulnérabilité n’était pas « le problème principal » de l’attaque.
En rapport: Circle, Tether gèle plus de 65 millions de dollars d’actifs transférés de Multichain
L’équipe d’Arcadie posté un message à l’attaquant utilisant le champ de données d’entrée d’une transaction Optimism, indiquant :
« Nous comprenons que vous êtes impliqué dans l’exploit d’Arcadia Finance. Nous travaillons activement avec des experts en sécurité et les forces de l’ordre. Vos dépôts et retraits TC sur BNB étaient un peu trop rapides, il est difficile de cacher votre identité en ligne ces jours-ci. Nous allons escalader cela avec les forces de l’ordre en l’absence de retour de fonds dans les prochaines 24 heures.
Dans son rapport, Arcadia a affirmé avoir trouvé des pistes prometteuses pour retrouver l’attaquant. « En plus d’obtenir des adresses liées à des échanges centralisés, nous avons également découvert des liens vers des exploits antérieurs d’autres protocoles », indique le rapport. « L’équipe étudie à la fois les données en chaîne et hors chaîne dans toute leur étendue et a plusieurs pistes. »
Les exploits et les escroqueries ont été un problème persistant dans l’espace DeFi en 2023. Un rapport du 5 juillet de CertiK a déclaré que plus de 300 millions de dollars avaient été perdus en raison d’exploits au cours du deuxième trimestre de l’année.