Arcadia Finance aufgrund einer Schwachstelle im Rebalancer-Vertrag für 2,5 Mio. $ ausgenutzt

Das dezentrale Finanzprotokoll Arcadia Finance wurde ausgenutzt, und Schätzungen gehen davon aus, dass Kryptowährungen im Wert von rund 2,5 Millionen US-Dollar abgeschöpft wurden.

Arcadia Finance, das auf der Base-Blockchain arbeitet, wurde am 15. Juli Ziel eines schnellen und ausgeklügelten Angriffs, bei dem Benutzergelder aus mehreren Tresoren abgezogen wurden.

Laut der Blockchain-Sicherheitsfirma Cyvers nutzte der Angreifer eine Lücke im Rebalancer-Vertrag von Arcadia aus, indem er willkürliche Swap-Parameter eingab.

Dies ermöglichte es ihnen, nicht autorisierte Token-Swaps auszulösen, die die normalen Überprüfungen umgingen und es ihnen letztendlich ermöglichten, Gelder ohne ordnungsgemäße Validierung aus den Tresoren der Benutzer abzuziehen.

Heute gegen 04:05:58 UTC setzten die Angreifer einen bösartigen Vertrag ein und lösten eine Reihe von nicht autorisierten Transaktionen aus.

Innerhalb einer Minute begann der Angreifer, Gelder von der Plattform abzuziehen und die gestohlenen Token anschließend in Wrapped Ethereum (WETH) im Base-Netzwerk umzuwandeln, bevor er sie an Ethereum-Mainnet-Adressen weiterleitete.

Cyvers verfolgte die Gelder und stellte fest, dass der Angreifer während des Tauschprozesses 199 WETH und über 965 Millionen AERO-Token erhielt.

Zu den gestohlenen Kryptowährungen gehörten etwa 2,3 Millionen USDC und 227.000 USDS, die auf 12 betroffene Adressen verteilt waren.

Um ihre Spur zu verwischen, verteilte der Angreifer die Gelder über zwischengeschaltete Wallets, wobei Cyvers schätzt, dass der Angreifer sich möglicherweise darauf vorbereitet, die Gelder über Kryptowährungsmixer zu waschen.

Als unmittelbare Maßnahme nach dem Vorfall hat Arcadia Finance eine öffentliche Warnung herausgegeben, in der die Nutzer aufgefordert werden, die dem Rebalancer der Plattform erteilten Berechtigungen zu widerrufen.

Das Team hat den Exploit in den sozialen Medien bestätigt, "nicht autorisierte Transaktionen über einen Rebalancer" bestätigt und den Nutzern versichert, dass weitere Informationen folgen würden.

Forscher von Cyvers haben empfohlen, sich an Börsen und Bridge-Betreiber zu wenden, um die Adressen des Angreifers auf Base und Ethereum auf die schwarze Liste zu setzen und Berichte bei den Strafverfolgungsbehörden einzureichen, um weitere Angriffe zu verhindern.

Dies ist nicht das erste Mal, dass Arcadia Finance Opfer eines Exploits wurde, der zu Verlusten führte.

Im Juli 2023 verlor das Protokoll rund 455.000 US-Dollar aufgrund einer weiteren Schwachstelle im Code einiger seiner Verträge.

Zu dieser Zeit wurden die meisten gestohlenen Gelder über Tornado Cash geschleust.

DeFi-Exploits plagen weiterhin Krypto-Nutzer

Der Arcadia Finance-Exploit ist der jüngste in einer Reihe von Defi-bezogenen Exploits, die in den letzten Monaten durchgesickert sind.

Allein im letzten Monat wurden mehrere Protokolle von böswilligen Akteuren ausgenutzt.

So gelang es einem Hacker Ende Juni, einen Preismanipulationsangriff auf das DeFi-Protokoll Resupply zu starten, um Kryptowährungen im Wert von rund 9,6 Millionen US-Dollar abzuschöpfen.

Nur wenige Tage zuvor verlor der Blockchain-Sicherheitsprüfer Hacken aufgrund eines kompromittierten privaten Schlüssels seinen nativen HAI-Token im Wert von rund 250.000 US-Dollar.

Über 2,47 Milliarden US-Dollar sind laut dem Blockchain-Sicherheitsunternehmen CertiK durch Hacks, Betrügereien und Exploits im gesamten Kryptosektor verloren gegangen.

Wie bereits in Invezz berichtet, entstanden allein im 2. Quartal 2025 Schäden in Höhe von mehr als 800 Millionen US-Dollar aus 144 Vorfällen, obwohl diese Zahl einen Rückgang des Gesamtwertverlusts um 52 % im Vergleich zum ersten Quartal bedeutete.