Arcadia Financea hyödynnettiin 2,5 miljoonalla dollarilla Rebalancer-sopimuksen haavoittuvuuden vuoksi

Hajautettua rahoitusprotokollaa Arcadia Finance on hyödynnetty, ja arvioiden mukaan kryptovaluuttaa on tyhjennetty noin 2,5 miljoonan dollarin arvosta.

Base-lohkoketjussa toimiva Arcadia Finance joutui 15. heinäkuuta nopean ja hienostuneen hyökkäyksen kohteeksi, joka tyhjensi käyttäjien varoja useista holveista.

Lohkoketjun tietoturvayritys Cyversin mukaan hyökkääjä käytti hyväkseen Arcadian Rebalancer-sopimuksen virhettä välittämällä mielivaltaisia vaihtoparametreja.

Tämän ansiosta he pystyivät käynnistämään luvattomat token-vaihdot, jotka ohittivat normaalit tarkastukset, jolloin he lopulta pystyivät tyhjentämään varoja käyttäjien holveista ilman asianmukaista vahvistusta.

Tänään noin kello 04:05:58 UTC hyökkääjät ottivat käyttöön haitallisen sopimuksen ja käynnistivät sarjan luvattomia tapahtumia.

Minuutin kuluessa hyökkääjä alkoi imeä varoja alustalta ja muuntaa varastetut tokenit Wrapped Ethereumiksi (WETH) Base-verkossa ennen kuin ne yhdistettiin Ethereumin pääverkko-osoitteisiin.

Cyvers jäljitti varat ja havaitsi, että hyökkääjä sai 199 WETH:ta ja yli 965 miljoonaa AERO-tokenia vaihtoprosessin aikana.

Varastetut kryptovaluutat sisälsivät noin 2,3 miljoonaa USDC:tä ja 227 000 USD:tä, jotka jakautuivat 12 osoitteeseen, joita asia koskee.

Peittääkseen jälkensä hyökkääjä jakoi varat välittäjälompakoihin, ja Cyvers arvioi, että hyökkääjä saattaa valmistautua pesemään varat kryptovaluuttasekoittimien kautta.

Välittömänä tapahtuman jälkeisenä toimenpiteenä Arcadia Finance on antanut julkisen varoituksen, jossa kehotetaan käyttäjiä peruuttamaan alustan Rebalancerille myönnetyt käyttöoikeudet.

Tiimi on tunnustanut hyväksikäytön sosiaalisessa mediassa, vahvistanut "luvattomat tapahtumat Rebalancerin kautta" ja vakuuttanut käyttäjille, että lisätietoja seuraa.

Cyversin tutkijat ovat suositelleet ottamaan yhteyttä pörsseihin ja siltaoperaattoreihin hyökkääjän osoitteiden mustalle listalle Basessa ja Ethereumissa ja tekemään raportteja lainvalvontaviranomaisille uusien hyökkäysten estämiseksi.

Tämä ei ole ensimmäinen kerta, kun Arcadia Finance on joutunut tappioihin johtaneen hyväksikäytön uhriksi.

Heinäkuussa 2023 protokolla menetti noin 455 000 dollaria joidenkin sen sopimusten koodin toisen haavoittuvuuden vuoksi.

Tuolloin suurin osa varastetuista varoista ohjattiin Tornado Cashin kautta.

DeFi-hyväksikäytöt vaivaavat edelleen kryptokäyttäjiä

Arcadia Financen hyväksikäyttö on viimeisin viime kuukausina tapahtuneiden defiin liittyvien hyväksikäyttöjen sarjassa.

Pelkästään viime kuussa pahat toimijat käyttivät hyväkseen useita protokollia.

Esimerkiksi kesäkuun lopulla hakkeri pystyi käynnistämään hintamanipulaatiohyökkäyksen DeFi-protokollaa Resupplya vastaan ja imemään noin 9,6 miljoonaa dollaria kryptoa.

Vain muutamaa päivää aiemmin Blockchainin tietoturvatarkastaja Hacken menetti noin 250 000 dollarin arvosta alkuperäistä HAI-tokeniaan vaarantuneen yksityisen avaimen vuoksi.

Lohkoketjun tietoturvayritys CertiK:n mukaan yli 2,47 miljardia dollaria on menetetty hakkeroinnissa, huijauksissa ja hyväksikäytöissä koko kryptosektorilla.

Kuten Invezzissä aiemmin kerrottiin, pelkästään vuoden 2025 toisella neljänneksellä oli yli 800 miljoonan dollarin tappiot 144 tapauksesta, vaikka luku merkitsi 52 prosentin laskua menetetyssä kokonaisarvossa ensimmäiseen vuosineljännekseen verrattuna.