Arcadia Finance explotado por 2,5 millones de dólares debido a una vulnerabilidad en el contrato de Rebalancer

El protocolo de finanzas descentralizadas Arcadia Finance ha sido explotado, y las estimaciones sugieren que se han drenado aproximadamente USD 2.5 millones en criptomonedas.

Arcadia Finance, que opera en la cadena de bloques Base, fue blanco el 15 de julio de un ataque rápido y sofisticado que drenó los fondos de los usuarios de múltiples bóvedas.

Según la firma de seguridad blockchain Cyvers, el atacante explotó una falla en el contrato Rebalancer de Arcadia al pasar parámetros de intercambio arbitrarios.

Esto les permitió desencadenar intercambios de tokens no autorizados que eludieron las comprobaciones normales, lo que en última instancia les permitió drenar fondos de las bóvedas de los usuarios sin la validación adecuada.

Alrededor de las 04:05:58 UTC de hoy, los atacantes desplegaron un contrato malicioso y desencadenaron una secuencia de transacciones no autorizadas.

En un minuto, el atacante comenzó a desviar fondos de la plataforma y, posteriormente, a convertir los tokens robados en Wrapped Ethereum (WETH) en la red Base antes de conectarlos a las direcciones de la red principal de Ethereum.

Cyvers rastreó los fondos y descubrió que el atacante recibió 199 WETH y más de 965 millones de tokens AERO durante el proceso de intercambio.

Las criptomonedas robadas incluían aproximadamente 2,3 millones de USDC y 227.000 USDS, distribuidos en 12 direcciones afectadas.

Para ocultar su rastro, el atacante distribuyó los fondos a través de billeteras intermediarias, y Cyvers estimó que el atacante puede estar preparándose para lavar los fondos a través de mezcladores de criptomonedas.

Como medida inmediata después del incidente, Arcadia Finance ha emitido una alerta pública instando a los usuarios a revocar los permisos otorgados al Rebalancer de la plataforma.

El equipo ha reconocido el exploit en las redes sociales, confirmando "transacciones no autorizadas a través de un Rebalancer" y ha asegurado a los usuarios que habrá más información.

Los investigadores de Cyvers han recomendado ponerse en contacto con los exchanges y los operadores de puentes para incluir en la lista negra las direcciones del atacante en Base y Ethereum y presentar informes a las fuerzas del orden para evitar nuevos ataques.

Esta no es la primera vez que Arcadia Finance se convierte en víctima de un exploit que provocó pérdidas.

En julio de 2023, el protocolo perdió alrededor de USD 455,000 debido a otra vulnerabilidad en el código de algunos de sus contratos.

En ese momento, la mayoría de los fondos robados se canalizaron a través de Tornado Cash.

Los exploits de DeFi siguen afectando a los usuarios de criptomonedas

El exploit de Arcadia Finance es el último de una serie de exploits relacionados con defi que han ocurrido en los últimos meses.

Solo el mes pasado, varios protocolos fueron explotados por malos actores.

Por ejemplo, a finales de junio, un hacker pudo lanzar un ataque de manipulación de precios en el protocolo DeFi Resupply para desviar aproximadamente USD 9.6 millones en criptomonedas.

Apenas unos días antes, el auditor de seguridad de Blockchain, Hacken, perdió aproximadamente USD 250,000 de su token nativo HAI debido a una clave privada comprometida.

Se han perdido más de USD 2.47 mil millones por hackeos, estafas y exploits en todo el sector de las criptomonedas, según la firma de seguridad blockchain CertiK.

Como se cubrió anteriormente en Invezz, solo en el segundo trimestre de 2025 se registraron más de 800 millones de dólares en pérdidas por 144 incidentes, aunque la cifra representó una caída del 52% en el valor total perdido en comparación con el primer trimestre.