Oggi si è scoperto un nuovo hack crypto: stavolta è stato attaccato con successo il protocollo DeFi Arcadia Finance sulle chain Ethereum ed Optimism.
Ne ha dato notizia PeckShieldAlert su Twitter riferendo che l’hack ha fruttato agli attaccanti circa 455.000$.
In seguito l’hack è stato anche confermato dagli stessi gestori di Arcadia Finance.
Dopo qualche ora hanno riferito di essere riusciti ad entrare in contatto con l’hacker, e di lavorare insieme ai loro partner per la sicurezza, alle forze dell’ordine ed alla comunità per risolvere il problema nel miglior modo possibile, nel tentativo di recuperare fondi per gli utenti del protocollo.
Summary
Il bug che ha portato all’hack crypto
Secondo PeckShield, l’hack allo smart contract di Arcadia Finance sarebbe dovuto alla mancanza di una convalida dell’input non attendibile, sfruttata per drenare fondi dalle riserve di darcWETH e darcUSDC.
darcWETH e darcUSDC sono due wrapped token di Arcadia Finance, quindi ognuno di essi detiene delle riserve.
In teoria per ogni token darcWETH dovrebbe esserci nelle riserve un token WETH, e per ogni token darcUSDC dovrebbe essercene uno USDC.
Evidentemente lo smart contract che gestisce le riserve di questi due wrapped token aveva un bug che gli attaccanti hanno potuto sfruttare.
Sempre PeckShield ha scoperto in questi smart contract la mancanza di protezione dal rientro, che in questo modo consentiva alla liquidazione istantanea di aggirare il controllo dello stato interno del gestore delle riserve.
A dire il vero Arcadia ha poi smentito questa ricostruzione, ma non è stata in grado di fornire una spiegazione alternativa.
La maggior parte dei fondi sono stati rubati dalla chain di Optimism, e sono stati poi spostati grazie a Tornado Cash per farne perdere le tracce.
Il protocollo Arcadia Finance
Arcadia Finance è un protocollo DeFi su Ethereum e Optimism che non ha un suo token nativo.
Prima dell’hack il suo TVL era di circa 600.000$, mentre dopo il furto è crollato a 145.000$.
Si tratta di un protocollo non-custodial che consente di comporre conti a margine incrociato on-chain.
Gli utenti di questi conti a margine possono garantire interi wallet, accedere ad un capitale fino a 10 volte superiore rispetto al loro valore iniziale di garanzia, ed utilizzare la garanzia depositata ed il capitale preso in prestito per interagire con qualsiasi altro protocollo DeFi in modo permissionless.
Dei prestatori forniscono liquidità ai pool di prestiti di Arcadia, guadagnando rendimenti passivi.
Essendo non-custodial gli hacker non sono riusciti a sottrarre fondi direttamente dai wallet degli utenti, ma da quelli utilizzati come riserve per l’emissione dei wrapped token darcWETH e darcUSDC.
Quindi non sono stati rubati darcWETH o darcUSDC direttamente dai wallet degli utenti, ma WETH e USDC dai wallet su cui erano detenute le riserve Questo fa sì che non ci sia più 1 WETH per ogni darcWETH emesso, e 1 USDC per ogni darcUSDC emesso, quindi di fatto gli utenti hanno ancora tutti i loro wrapped token ma non possono più riscattarli.
Il problema dei wrapped token
Spesso si dice che i wallet non-custodial sono sicuri, se conservati e mantenuti in modo corretto, ma a volte i rischi stanno a monte.
Infatti, per un qualsiasi wallet non-custodial non ci sono grosse differenze nel custodire token originali, come ad esempio USDC, o token wrappati, come darcUSDC.
Ma i token wrappati hanno un livello aggiuntivo di rischio, a monte. Infatti, la custodia delle garanzie non la fanno gli utenti stessi sui loro wallet non-custodial, ma i gestori dei token wrappati.
Di fatto questa cosa non è molto differente da un wallet custodial, dato che custodire le riserve equivale per certi versi a custodire i token wrappati.
Pertanto anche se i wallet degli utenti che detengono token wrappati non vengono violati, di fatto in caso di violazione dei wallet delle riserve, a monte, gli utenti possono perdere lo stesso i loro fondi, semplicemente perchè pur avendo ancora i token wrappati non possono più redimerli. Il loro valore effettivo in questo modo di fatto va a zero.
Questo in realtà vale anche per USDC, perchè pur non essendo un token wrappato è una stablecoin collateralizzata, ovvero con riserve a garanzia, oltretutto detenute e gestite da un unico soggetto (Circle).
L’impatto sui mercati crypto dell’hack avvenuto
L’impatto sui mercati crypto di questo hack è stato pressoché nullo, se si escludono i token wrappati darcWETH e darcUSDC.
Anche OP, ovvero il token nativo di Optimism, non ha subito gravi perdite, tanto che il suo prezzo oggi si è mosso in linea con quelli di tanti altri token simili.
D’altronde 455.000$ non sono poi molti, ed ormai i mercati crypto hanno sviluppato una certa abitudine a questo tipo di furti sui protocolli DeFi.
Oltretutto la DeFi non riguarda Bitcoin, ed in questo momento è Bitcoin a dettare il trend sui mercati crypto.
Situazioni come questa se non altro servono per far capire meglio quali siano i rischi che si corrono quando si utilizzano protocolli DeFi, soprattutto quando sono nascosti come nel caso dei wrapped token.
Qualcosa di molto peggio era accaduto invece a marzo, quando si scoprì che Circle deteneva una porzione significativa delle riserve di USDC sulla banca fallita Silvergate, tanto che per un momento si temette che la stablecoin potesse perdere il peg con il dollaro.
Poi però intervenne direttamente la banca centrale statunitense a coprire tutti gli ammanchi, così da ridare indietro a tutti i correntisti di Silvergate tutti i loro fondi.
