아르카디아 파이낸스 해커가 재진입 취약점을 이용하여 공격을 가했으며, 팀은 자금 환급을 요구합니다.

'아르카디아 파이낸스 해커가 재진입 취약점을 이용하여 공격하고 자금 환급을 요구합니다.'

7월 10일 앱 개발팀이 발표한 사후 보고서에 따르면, Arcadia Finance 공격자는 분산 금융(DeFi) 프로토콜에서 $455,000를 인출하기 위해 재진입(exploit) 공격을 사용했습니다. “재진입(exploit)”은 공격자가 계약에 “재진입”하거나 다단계 프로세스 중에 중단시킬 수 있는 버그로, 프로세스가 올바르게 완료되지 못하도록 합니다.

팀은 공격자에게 24시간 이내에 자금 반환을 요구하고, 이를 준수하지 않을 경우 경찰 조치를 위협하고 있습니다.

진행 중인 상황에 대한 사후 분석을 통해 기술적 개요와 다음 단계에 대한 자세한 정보를 제공합니다.https://t.co/NPNbbSzKBQ

— Arcadia Finance (@ArcadiaFi) 2023년 7월 10일

• 이전 SEC 위원장은 비트코인 ETF 승인을 ‘저항하기 어렵다’고 말했습니다.
• 비트코인 가격 예측, BTC가 30,000달러 지지선에서 흔들리는 동안 – 더 큰 판매 압력이 오는 걸까요?
• 룩소르 테크놀로지스가 6개월 계약과 일일 결제율로 비트코인 채굴 파생상품을 확장했습니다.

Arcadia Finance는 7월 10일 아침에 공격을 받았으며 $455,000의 암호화폐가 인출되었습니다. 블록체인 보안 회사 Peckshield의 예비 보고서에 따르면, 공격자는 앱의 계약에서 “신뢰할 수 없는 입력 유효성 검사의 부재”를 이용하여 자금을 인출했습니다. Arcadia 팀은 이를 부인하며 Peckshield의 분석이 잘못되었다고 주장했습니다. 그러나 팀은 당시 원인으로 생각되는 것을 설명하지 않았습니다.

새로운 Arcadia 보고서에 따르면, 앱의 “liquidateVault()” 함수에 재진입 검사가 포함되어 있지 않았습니다. 이로 인해 공격자는 건강 확인이 완료되기 전에 해당 함수를 호출할 수 있었으며, 동시에 자금을 인출했습니다. 결과적으로, 공격자는 자금을 빌리고 상환하지 않을 수 있으며, 프로토콜에서 이를 인출하여 자금을 고갈시킬 수 있었습니다.

팀은 현재 계약을 일시 중단하고 이러한 허점을 막기 위한 패치 작업을 진행 중입니다.

공격자는 먼저 Aave에서 20,672달러의 US Dollar Coin(USDC) 플래시 대출을 받고, 이를 Arcadia 보관함에 입금했습니다. 다음으로, 이 보관함 담보를 사용하여 Arcadia 유동성 풀에서 103,210달러의 USDC를 빌렸습니다. 이는 사용자가 블록의 끝에서 계정이 건강하게 유지될 수 있는 경우에만 자금을 빌릴 수 있는 “doActionWithLeverage()” 함수를 통해 수행되었습니다.

공격자는 103,210달러를 보관함에 입금하여 총 자금을 123,882달러로 만들었습니다. 그런 다음 모든 자금을 인출하여 보관함을 빈 상태로 남겼으며, 103,210달러의 부채가 발생했습니다.

이론적으로는 자금을 인출하면 계정이 건강 확인에 실패하여 모든 작업이 되돌아가야 합니다. 그러나 공격자는 건강 확인이 시작되기 전에 liquidateVault()를 호출하는 악성 계약을 사용했습니다. 보관함은 청산되어 모든 부채가 사라졌습니다. 결과적으로, 보관함은 자산이 없고 채무가 없는 상태로 남게 되어 건강 확인을 통과할 수 있었습니다.

모든 거래가 완료된 후에 계정이 건강 확인을 통과했기 때문에, 어떤 거래도 되돌려지지 않았으며, Optimism과 Ethereum의 풀에서 455,000달러의 자금이 고갈되었습니다. 공격자는 동일한 블록 내에서 Aave에 대출금을 상환했습니다. 공격자는 이러한 공격을 여러 차례 반복하여 총 455,000달러를 인출했습니다.

Arcadia 팀의 보고서에서는, 이 공격이 신뢰할 수 없는 입력으로 인해 발생한 것이 아니라고 주장하여 이 주장에 반박했습니다.

관련 기사: Circle, Tether freezes over $65M in assets transferred from Multichain

Arcadia 팀은 Optimism 거래의 입력 데이터 필드를 사용하여 공격자에게 메시지를 게시했습니다. 그 내용은 다음과 같습니다:

“Arcadia Finance의 공격에 관여한 것으로 알고 있습니다. 보안 전문가와 법 집행 기관과 적극적으로 협력하고 있습니다. BNB에서의 TC 예금 및 인출이 너무 빨라서 온라인에서 신원을 숨기기 어렵습니다. 다음 24시간 이내에 자금이 반환되지 않을 경우 법 집행 기관에 이 문제를 신고할 것입니다.”

Arcadia의 보고서에 따르면, 공격자를 추적하기 위해 유망한 단서를 발견했다고 주장했습니다. “중앙 집중형 거래소와 관련된 주소를 획득한 것 외에도, 다른 프로토콜의 이전 공격과 연결되는 링크를 발견했습니다,”라고 말했습니다. “팀은 온체인과 오프체인 데이터를 최대한 조사하고, 다양한 선두자들을 가지고 있습니다.”

2023년에는 DeFi 공간에서 공격과 사기가 계속된 문제가 되었습니다. Certik의 7월 5일 보고서에 따르면, 2023년 두 번째 분기에는 약 3억 달러가 공격으로 인해 손실되었다고 보고되었습니다.