涉案资金流向
截止到2023年7月10日,
攻击者1(0xd36······a9467)从Optimism上提取148.23枚ETH和59,427枚USDC到以太坊链,最终将资产全部转移回Tornado Cash。
攻击者2(0x5C7······c050d)直接从Changenow中提取0.79 ETH,获利11.05枚ETH和103,200枚USDC。资金目前还存放在攻击者的地址。共计造成损失约45.5万美元。
被攻击原因分析
攻击者1(0xd36······a9467)首先从BSC上的Tornado Cash中提取1.3枚BNB,然后通过Stargate Finance跨链到以太坊。然后,攻击者将0.023枚ETH再次跨链至Optimism作为初始资金。在完成对Optimism链上Arcadia的攻击后,攻击者从Optimism上提取148.23枚ETH和59,427枚USDC到以太坊链,并最终将资产全部转移回Tornado Cash。
https://optimistic.etherscan.io/address/0xd3641c912a6a4c30338787e3c464420b561a9467
攻击者2(0x5C7······c050d)直接从Changenow中提取0.79 ETH,获利11.05枚ETH和103,200枚USDC。资金目前还存放在攻击者的地址。
https://etherscan.io/tx/0xefc4ac015069fdf9946997be0459db44c0491221159220be782454c32ec2d651
https://etherscan.io/address/0x5C75e94dD0Ab9c10BFd1B8073DafEF031D3c050d
结合其交易记录,并分析合约
经过分析合约,可以发现这个漏洞的根本原因是在清算 Vault 时缺少重入检查。在多次调用期间,Vault 通过 LendingPool → Liquidator → Vault 间接地重新进入,进而造成重入攻击。
本次安全事件造成的影响
这次攻击对于普通用户来说,可能会影响他们在Arcadia Finance 的保证金账户的资金安全,以及他们对协议的信任度。如果用户已经在 Arcadia Finance 存入了资产作为抵押,那么他们可能会面临损失的风险。如果用户还没有使用 Arcadia Finance 的服务,那么他们可能会对协议的安全性和可靠性产生疑虑。Arcadia Finance 目前还没有公布针对用户具体的补偿方案或恢复计划,所以用户需要密切关注官方的最新消息,并谨慎评估自己的风险承受能力。
针对使用Arcadia Finance保证金协议的用户,我们建议首先确认自己的保证金账户是否受到了影响,并计算损失的资金数量。之后,需要关注Arcadia Finance能否追回被盗的资金,并且是否会对受损用户进行补偿。
为了避免类似的风险,建议其他用户采取以下措施:
首先、了解将要使用的协议或项目的工作原理、风险提示和用户协议,并只在自己能够承担风险的情况下使用其服务。
其次、定期检查自己的账户状态、余额和活动,并及时发现和处理任何异常或错误。
最后、关注项目方的最新动态、更新和公告,并及时调整自己的策略和操作。