एथेरियम और आशावाद पर नया क्रिप्टो हैक

आज एक नई क्रिप्टो हैक की खोज की गई: इस बार एथेरियम और ऑप्टिमिज्म श्रृंखलाओं पर डेफी अर्काडिया फाइनेंस प्रोटोकॉल पर सफलतापूर्वक हमला किया गया।

PeckShieldAlert ने ट्विटर पर यह खबर दी और बताया कि हैक से हमलावरों को लगभग 455,000 डॉलर मिले।

हैक की पुष्टि बाद में खुद अर्काडिया फाइनेंस के संचालकों ने भी की।

हम अपने प्रोटोकॉल में संभावित शोषण से अवगत हैं।
हमने अनुबंधों को रोक दिया है और सुरक्षा विशेषज्ञों के साथ मूल कारण की जांच कर रहे हैं। अधिक जानकारी उपलब्ध होते ही दी जाएगी।
- अर्काडिया फाइनेंस (@ArcadiaFi) जुलाई 10, 2023

कुछ घंटों के बाद, उन्होंने बताया कि वे हैकर से संपर्क करने में सक्षम थे, और वे धन की वसूली के प्रयास में समस्या को हल करने के लिए अपने सुरक्षा भागीदारों, कानून प्रवर्तन और समुदाय के साथ मिलकर काम कर रहे थे। प्रोटोकॉल उपयोगकर्ता.

वह बग जिसके कारण क्रिप्टो हैक हुआ

पेकशील्ड के अनुसार, अर्काडिया फाइनेंस के स्मार्ट कॉन्ट्रैक्ट में हैक का कारण अविश्वसनीय इनपुट सत्यापन का उपयोग darcWETH और darcUSDC रिजर्व से धन निकालने के लिए किया जा रहा था।

darcWETH और darcUSDC दो लिपटे हुए अर्काडिया फाइनेंस टोकन हैं, इसलिए उनमें से प्रत्येक के पास भंडार है।

सैद्धांतिक रूप से प्रत्येक darcWETH टोकन के लिए भंडार में एक WETH टोकन होना चाहिए, और प्रत्येक darcUSDC टोकन के लिए एक USDC टोकन होना चाहिए।

जाहिर तौर पर स्मार्ट कॉन्ट्रैक्ट जो इन दो लिपटे टोकन के भंडार का प्रबंधन करता है, उसमें एक बग था जिसका हमलावर फायदा उठाने में सक्षम थे।

इसके अलावा, पेकशील्ड ने इन स्मार्ट अनुबंधों में पुन: प्रवेश सुरक्षा की कमी की खोज की, जिसने इस तरह तत्काल निपटान को रिजर्व प्रबंधक की आंतरिक स्थिति जांच को बायपास करने की अनुमति दी।

इसके अलावा, पुनर्प्रवेश सुरक्षा का अभाव है, जो आंतरिक वॉल्ट स्वास्थ्य जांच को बायपास करने के लिए तत्काल परिसमापन की अनुमति देता है। pic.twitter.com/Am58ZOvgQJ
- पेकशील्ड इंक (@peckshield) जुलाई 10, 2023

निष्पक्ष होने के लिए, अर्काडिया ने बाद में इस पुनर्निर्माण का खंडन किया, लेकिन कोई वैकल्पिक स्पष्टीकरण देने में असमर्थ रहा।

अधिकांश फंड ऑप्टिमिज़्म की श्रृंखला से चुराए गए थे, और फिर उनका ट्रैक खोने के लिए टॉरनेडो कैश की बदौलत उन्हें स्थानांतरित कर दिया गया था।

अर्काडिया फाइनेंस प्रोटोकॉल

अर्काडिया फाइनेंस एथेरियम और ऑप्टिमिज्म पर एक डेफी प्रोटोकॉल है जिसका अपना मूल टोकन नहीं है।

हैक से पहले, इसका टीवीएल लगभग $600,000 था, जबकि चोरी के बाद यह गिरकर $145,000 हो गया।

यह एक गैर-कस्टोडियल प्रोटोकॉल है जो ऑन-चेन क्रॉस-मार्जिन खातों की संरचना की अनुमति देता है।

इन मार्जिन खातों के उपयोगकर्ता पूरे वॉलेट को संपार्श्विक बना सकते हैं, अपने प्रारंभिक संपार्श्विक मूल्य की तुलना में 10 गुना अधिक पूंजी तक पहुंच सकते हैं, और जमा संपार्श्विक और उधार ली गई पूंजी का उपयोग किसी अन्य डेफी प्रोटोकॉल के साथ अनुमति रहित तरीके से बातचीत करने के लिए कर सकते हैं।

ऋणदाता अर्काडिया के ऋण पूल को तरलता प्रदान करते हैं, निष्क्रिय रिटर्न अर्जित करते हैं।

गैर-हिरासत में होने के कारण, हैकर सीधे उपयोगकर्ताओं के वॉलेट से धनराशि चुराने में सक्षम नहीं थे, बल्कि लिपटे हुए टोकन darcWETH और darcUSDC को जारी करने के लिए रिजर्व के रूप में उपयोग किए गए थे।

इस प्रकार, कोई भी darcWETH या darcUSDC सीधे उपयोगकर्ताओं के वॉलेट से चोरी नहीं हुआ था, लेकिन WETH और USDC उन वॉलेट से चुराए गए थे जिन पर रिजर्व रखे गए थे। इसका मतलब यह है कि अब जारी किए गए प्रत्येक darcWETH के लिए 1 WETH और जारी किए गए प्रत्येक darcUSDC के लिए 1 USDC नहीं है, इसलिए प्रभावी रूप से उपयोगकर्ताओं के पास अभी भी उनके सभी लिपटे हुए टोकन हैं लेकिन अब उन्हें भुना नहीं सकते हैं।

लिपटे हुए टोकन के साथ समस्या

यह अक्सर कहा जाता है कि गैर-कस्टोडियल वॉलेट सुरक्षित होते हैं, अगर ठीक से संग्रहित और रखरखाव किया जाए, लेकिन कभी-कभी जोखिम उल्टा होता है।

दरअसल, किसी भी गैर-कस्टोडियल वॉलेट के लिए मूल टोकन, जैसे यूएसडीसी, या रैप्ड टोकन, जैसे कि डार्कयूएसडीसी, को संग्रहीत करने में बहुत कम अंतर होता है।

हालाँकि, लपेटे गए टोकन में जोखिम की एक अतिरिक्त परत होती है। वास्तव में, संपार्श्विक की हिरासत उपयोगकर्ताओं द्वारा स्वयं अपने गैर-कस्टोडियल वॉलेट पर नहीं की जाती है, बल्कि लपेटे गए टोकन के प्रबंधकों द्वारा की जाती है।

वास्तव में, यह एक कस्टोडियल वॉलेट से बहुत अलग नहीं है, क्योंकि संपार्श्विक की हिरासत कुछ मायनों में लिपटे टोकन की हिरासत के बराबर है।

इसलिए भले ही लपेटे हुए टोकन रखने वाले उपयोगकर्ताओं के बटुए का उल्लंघन नहीं किया गया हो, रिजर्व वॉलेट के उल्लंघन की स्थिति में, उपयोगकर्ता अभी भी अपने फंड खो सकते हैं, सिर्फ इसलिए कि जबकि उनके पास अभी भी लपेटे हुए टोकन हैं, वे अब उन्हें भुना नहीं सकते हैं। इस प्रकार उनका वास्तविक मूल्य प्रभावी रूप से शून्य हो जाता है।

यह वास्तव में यूएसडीसी पर भी लागू होता है, क्योंकि यह एक लपेटा हुआ टोकन नहीं है, यह एक संपार्श्विक स्थिर मुद्रा है, जिसका अर्थ है कि इसमें संपार्श्विक के रूप में भंडार है, जिसे एक इकाई (सर्कल) द्वारा रखा और प्रबंधित किया जाता है।

जो हैक हुआ उसका क्रिप्टो बाज़ारों पर प्रभाव

यदि हम लपेटे गए टोकन डार्कवेथ और डार्कयूएसडीसी को छोड़ दें तो इस हैक का क्रिप्टो बाजारों पर प्रभाव लगभग शून्य रहा है।

ओपी, जो कि ऑप्टिमिज्म का मूल टोकन है, को भी कोई गंभीर नुकसान नहीं हुआ है, इतना कि इसकी कीमत आज कई अन्य समान टोकन के अनुरूप हो गई है।

फिर, $455,000 इतना अधिक नहीं है, और अब तक क्रिप्टो बाजारों ने डेफी प्रोटोकॉल पर इस तरह की चोरी की आदत विकसित कर ली है।

इसके अलावा, डेफी बिटकॉइन के बारे में नहीं है, और अभी यह बिटकॉइन है जो क्रिप्टो बाजारों में रुझान को तय कर रहा है।

इस तरह की स्थितियाँ केवल DeFi प्रोटोकॉल का उपयोग करते समय शामिल जोखिमों की बेहतर समझ प्रदान करती हैं, खासकर जब वे छिपे हुए टोकन के मामले में छिपे होते हैं।

मार्च में कुछ और भी बुरा हुआ था, जब यह पता चला कि सर्कल ने असफल सिल्वरगेट बैंक पर यूएसडीसी रिजर्व का एक महत्वपूर्ण हिस्सा रखा था, इतना कि एक पल के लिए यह डर था कि स्थिर मुद्रा डॉलर के साथ अपना खूंटा खो सकती है।

लेकिन तब अमेरिकी केंद्रीय बैंक ने सभी कमियों को पूरा करने के लिए सीधे हस्तक्षेप किया, जिससे सभी सिल्वरगेट जमाकर्ताओं को उनकी सारी धनराशि वापस मिल गई।

स्रोत: https://en.cryptonomist.ch/2023/07/10/new-crypto-hack-ewhereum-optimism/