Un nouveau hack de crypto a été découvert aujourd’hui: cette fois, le protocole DeFi Arcadia Finance sur les chaînes Ethereum et Optimism a été attaqué avec succès.
PeckShieldAlert a rapporté sur Twitter que le hack a rapporté aux attaquants quelque 455 000 dollars.
Le hack a également été confirmé plus tard par les opérateurs d’Arcadia Finance eux-mêmes.
Quelques heures plus tard, ils ont indiqué qu’ils avaient réussi à entrer en contact avec le pirate et qu’ils collaboraient avec leurs partenaires en matière de sécurité, les forces de l’ordre et la communauté pour résoudre le problème du mieux possible et tenter de récupérer les fonds pour les utilisateurs du protocole.
Summary
Le bug qui a conduit au hack crypto
Selon PeckShield, le hack du contrat intelligent d’Arcadia Finance était dû à une validation d’entrée peu fiable, qui a été exploitée pour drainer des fonds des réserves de darcWETH et de darcUSDC.
darcWETH et darcUSDC sont deux tokens enveloppés d’Arcadia Finance, ils détiennent donc chacun des réserves.
En théorie, pour chaque token darcWETH, il devrait y avoir un token WETH dans les réserves, et pour chaque token darcUSDC, il devrait y avoir un token USDC.
De toute évidence, le contrat intelligent qui gère les réserves de ces deux tokens enveloppés présentait un bug que les attaquants ont pu exploiter.
PeckShield a également découvert un manque de protection contre la réentrée dans ces contrats intelligents, ce qui a permis à la liquidation instantanée de contourner le contrôle d’état interne du gestionnaire de la réserve.
Pour être juste, Arcadia a par la suite réfuté cette reconstruction, mais n’a pas été en mesure de fournir une autre explication.
La plupart des fonds ont été volés dans la chaîne d’Optimism, puis déplacés via Tornado Cash pour faire disparaître les traces.
Le protocole Arcadia Finance
Arcadia Finance est un protocole DeFi sur Ethereum et Optimism qui ne dispose pas de son propre token natif.
Avant le hack, sa LCT était d’environ 600.000$, tandis qu’après le vol, elle a chuté à 145.000$.
Il s’agit d’un protocole non conservatoire qui permet d’établir des comptes à marge croisée sur la chaîne.
Les utilisateurs de ces comptes sur marge peuvent garantir des portefeuilles entiers, accéder à un capital jusqu’à 10 fois supérieur à la valeur initiale de leur garantie, et utiliser la garantie déposée et le capital emprunté pour interagir avec n’importe quel autre protocole DeFi, sans aucune permission.
Les prêteurs fournissent des liquidités aux pools de prêts d’Arcadia et obtiennent des rendements passifs.
N’étant pas dépositaires, les pirates n’ont pas pu voler des fonds directement dans les portefeuilles des utilisateurs, mais dans ceux utilisés comme réserves pour l’émission des token enveloppés darcWETH et darcUSDC.
Ce ne sont donc pas des darcWETH ou des darcUSDC qui ont été volés directement dans les portefeuilles des utilisateurs, mais des WETH et des USDC dans les portefeuilles sur lesquels les réserves étaient détenues Cela signifie qu’il n’y a plus 1 WETH pour chaque darcWETH émis, et 1 USDC pour chaque darcUSDC émis, donc en fait les utilisateurs ont toujours tous leurs tokens wrappés, mais ne peuvent plus les échanger.
Le problème des wrapped token
On dit souvent que les portefeuilles non conservés sont sûrs, s’ils sont stockés et entretenus correctement, mais les risques sont parfois au rendez-vous.
En effet, pour tout wallet non custodial, il n’y a pas de grande différence entre le stockage de tokens originaux, comme USDC, ou de tokens wrapped, comme darcUSDC.
Mais les tokens enveloppés présentent une couche de risque supplémentaire, en amont. En effet, la conservation du collatéral n’est pas faite par les utilisateurs eux-mêmes sur leurs wallets non gardiens, mais par les gestionnaires des wrapped tokens.
En fait, cela n’est pas très différent d’un wallet custodial, puisque la garde du collatéral équivaut d’une certaine manière à la garde des tokens wrappés.
Par conséquent, même si les portefeuilles des utilisateurs détenant des tokens enveloppés ne sont pas violés, en fait en cas de violation des portefeuilles de réserve, en amont, les utilisateurs peuvent toujours perdre leurs fonds, tout simplement parce que tant qu’ils ont encore les tokens enveloppés, ils ne peuvent plus les racheter. De cette manière, leur cours réel tombe effectivement à zéro.
En réalité, cela s’applique également à USDC, car bien qu’il ne s’agisse pas d’un token enveloppé, c’est un stablecoin collatéralisé, c’est-à-dire avec des réserves comme garantie, et qui plus est détenu et géré par une seule entité (Circle).
L’impact sur les marchés crypto du hack
L’impact sur les marchés crypto de ce hack a été quasi nul, si l’on exclut les tokens enveloppés darcWETH et darcUSDC.
OP, le token natif d’Optimism, n’a pas non plus subi de pertes importantes, à tel point que son cours a aujourd’hui évolué en ligne avec ceux de nombreux autres tokens similaires.
Après tout, 455.000$, ce n’est pas grand-chose, et les marchés crypto ont désormais développé une certaine habitude de ce type de vol sur les protocoles de DeFi.
De plus, DeFi n’a rien à voir avec le Bitcoin, et à l’heure actuelle, c’est le Bitcoin qui dicte la tendance sur les marchés crypto.
Des situations comme celle-ci ne servent au moins qu’à mieux faire comprendre aux gens les risques qu’ils encourent en utilisant les protocoles DeFi, surtout lorsqu’ils sont cachés comme dans le cas des tokens emballés.
Quelque chose de bien pire s’était pourtant produit en mars, lorsqu’il a été découvert que Circle détenait une part importante des réserves en USDC sur la banque Silvergate en faillite, à tel point qu’on a craint un moment que le stablecoin ne perde son arrimage au dollar.
Mais la banque centrale américaine est alors intervenue directement pour couvrir tous les déficits, de sorte que tous les déposants de Silvergate se sont vus restituer l’intégralité de leurs fonds.
