Arcadia Finance udnyttet for $2,5 mio. på grund af en sårbarhed i Rebalancer-kontrakten

Den decentraliserede finansprotokol Arcadia Finance er blevet udnyttet, og estimater tyder på, at kryptovaluta til en værdi af omkring $2,5 millioner er blevet drænet.

Arcadia Finance, der opererer på Base-blockchainen, blev den 15. juli målrettet i et hurtigt og sofistikeret angreb, der drænede brugernes midler fra flere bokse.

Ifølge blockchain-sikkerhedsfirmaet Cyvers udnyttede angriberen en fejl i Arcadias Rebalancer-kontrakt ved at indsende vilkårlige swap-parametre.

Dette gjorde det muligt for dem at udløse uautoriserede token-swaps, der omgik normale kontroller, hvilket i sidste ende gav dem mulighed for at dræne midler fra brugerbokse uden ordentlig validering.

Omkring kl. 04:05:58 UTC i dag implementerede angriberne en ondsindet kontrakt og udløste en række uautoriserede transaktioner.

Inden for et minut begyndte angriberen at suge midler fra platformen og efterfølgende konvertere de stjålne tokens til Wrapped Ethereum (WETH) på Base-netværket, før han byggede bro til Ethereum-mainnet-adresser.

Cyvers sporede midlerne og fandt ud af, at angriberen modtog 199 WETH og over 965 millioner AERO-tokens under swap-processen.

De stjålne kryptovalutaer omfattede cirka 2,3 millioner USDC og 227.000 USDS, fordelt på 12 berørte adresser.

For at skjule deres spor fordelte angriberen midlerne på tværs af mellemliggende tegnebøger, hvor Cyvers anslår, at angriberen muligvis forbereder sig på at hvidvaske midlerne via kryptovaluta-mixere.

Som en øjeblikkelig foranstaltning efter hændelsen har Arcadia Finance udsendt en offentlig advarsel, der opfordrer brugerne til at tilbagekalde tilladelser, der er givet til platformens Rebalancer.

Holdet har anerkendt udnyttelsen på sociale medier og bekræftet "uautoriserede transaktioner via en Rebalancer" og forsikret brugerne om, at flere oplysninger ville følge.

Forskere hos Cyvers har anbefalet at kontakte børser og brooperatører for at sortliste angriberens adresser på Base og Ethereum og indsende rapporter til retshåndhævende myndigheder for at forhindre yderligere angreb.

Det er ikke første gang, Arcadia Finance er blevet offer for en udnyttelse, der førte til tab.

I juli 2023 mistede protokollen omkring $455.000 på grund af en anden sårbarhed i kode på tværs af nogle af dens kontrakter.

På det tidspunkt blev de fleste af de stjålne midler kanaliseret gennem Tornado Cash.

DeFi-udnyttelser fortsætter med at plage kryptobrugere

Arcadia Finance-udnyttelsen er den seneste i en række af defi-relaterede udnyttelser, der har fundet sted i de seneste måneder.

Alene i sidste måned blev flere protokoller udnyttet af dårlige aktører.

For eksempel var en hacker i slutningen af juni i stand til at lancere et prismanipulationsangreb på DeFi-protokollen Resupply for at suge omkring 9,6 millioner dollars i krypto.

Blot få dage før mistede Blockchain-sikkerhedsrevisor Hacken omkring $250.000 af sit oprindelige HAI-token på grund af en kompromitteret privat nøgle.

Over 2,47 milliarder dollars er gået tabt på grund af hacks, svindel og udnyttelser på tværs af kryptosektoren, ifølge blockchain-sikkerhedsfirmaet CertiK.

Som tidligere dækket i Invezz oplevede 2. kvartal 2025 alene mere end $800 millioner i tab fra 144 hændelser, selvom tallet repræsenterede et fald på 52% i den samlede tabte værdi sammenlignet med første kvartal.