El hacker de Arcadia Finance utilizó un exploit de reentrada: el equipo exige la devolución de los fondos

　　Tom Blackstone

　　hace 4 minutos

　　El hacker de Arcadia Finance utilizó un exploit de reentrada: el equipo exige la devolución de los fondos

　　En un informe post-mortem, los desarrolladores de Arcadia Finance dijeron que un atacante robó fondos liquidando una bóveda antes de que pudiera realizar una comprobación de funcionamiento, interrumpiendo el flujo normal de operaciones de la aplicación.

　　El atacante de Arcadia Finance utilizó un exploit de reentrada para sustraer USD 455,000 del protocolo de finanzas descentralizadas (DeFi), según un informe post-mortem publicado el 10 de julio por el equipo de desarrollo de la aplicación. Un “exploit de reentrada” es un fallo que permite a un atacante “reintroducir” un contrato o interrumpirlo durante un proceso de varios pasos, impidiendo que el proceso se complete correctamente.

　　El equipo ha enviado un mensaje al atacante exigiendo la devolución de los fondos en un plazo de 24 horas y amenazando con acciones policiales en caso de incumplimiento.

　　Arcadia Finance sufrió un ataque en la mañana del 10 de julio que le hizo perder USD 455,000 en criptomonedas. Un informe preliminar de la empresa de seguridad blockchain Peckshield afirmaba que el atacante había utilizado una “falta de validación de entrada no fiable” en los contratos de la aplicación para drenar los fondos. El equipo de Arcadia lo había negado, afirmando que el análisis de Peckshield era erróneo. Sin embargo, el equipo no explicó cuál creía entonces que era la causa.

　　El nuevo informe de Arcadia afirmaba que la función de la aplicación no contenía una comprobación de reentrada. Esto permitía al atacante llamar a la función antes de que se hubiera completado una comprobación de salud, pero después de que el atacante hubiera retirado fondos. Como resultado, el atacante podía tomar prestados fondos y no devolverlos, vaciándolos del protocolo.

　　El equipo ha puesto en pausa los contratos y está trabajando en un parche para cerrar la brecha.

　　En primer lugar, el atacante obtuvo un préstamo relámpago de Aave por valor de USD 20,672 USD Coin (USDC) y los depositó en una bóveda de Arcadia. A continuación, utilizó la garantía de la bóveda para tomar prestados 103.210 USDC de un pool de liquidez de Arcadia. Esto se logró a través de una función “doActionWithLeverage()” que permite a los usuarios tomar prestados fondos sólo si su cuenta puede permanecer sana al final del bloque.

　　El atacante depositó los USD 103,210 en la bóveda, con lo que el total de fondos ascendió a USD 123,882. A continuación, retiró todos los fondos, dejando la bóveda sin activos y con una deuda de USD 103,210.

　　En teoría, esto debería haber provocado que todas las acciones se revirtieran, pues el retiro de fondos debería haber provocado que la cuenta no superara una comprobación de salud. Sin embargo, el atacante utilizó un contrato malicioso para llamar a liquidateVault() antes de que la comprobación de salud pudiera comenzar. La bóveda fue liquidada, eliminando todas sus deudas. Como resultado, quedó con cero activos y cero pasivos, lo que le permitió pasar el control de seguridad.

　　Como la cuenta pasó el chequeo después de que todas las transacciones hubieran concluido, ninguna de las transacciones se revirtió, y el fondo se vació de 103,210 dólares. El atacante devolvió el préstamo a Aave en el mismo bloque. Repitieron este exploit varias veces, drenando un total de 455,000 dólares de los pools de Optimism y Ethereum.

　　En su informe, el equipo de Arcadia se opuso a las afirmaciones de que el exploit fue causado por una entrada no fiable, afirmando que esta supuesta vulnerabilidad no era “el problema principal” del ataque.

　　El equipo de Arcadia envió un mensaje al atacante utilizando el campo de datos de entrada de una transacción de Optimism, en el que se afirmaba:

　　“Entendemos que estás involucrado en el exploit de Arcadia Finance. Estamos trabajando activamente con expertos en seguridad y fuerzas de seguridad. Tus depósitos y retiros en BNB fueron demasiado rápidos, es difícil ocultar tu identidad online hoy en día. Llevaremos este asunto ante las fuerzas de seguridad si no se devuelve ningún fondo en las próximas 24 horas”.

　　En su informe, Arcadia afirmaba haber encontrado algunas pistas prometedoras para localizar al atacante. “Además de obtener direcciones vinculadas a los exchanges centralizados, también descubrimos vínculos con exploits anteriores de otros protocolos”, dijeron. “El equipo está investigando al máximo los datos dentro y fuera de la cadena y tiene múltiples pistas”.

　　Los exploits y las estafas han sido un problema constante en el espacio DeFi en 2023. Un informe del 5 de julio de Certik afirmaba que se perdieron más de USD 300 millones debido a exploits en el segundo trimestre del año.

　　Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.