Arcadia Finance exploitée pour 2,5 millions de dollars en raison d’une vulnérabilité dans le contrat de rééquilibrage

Le protocole de finance décentralisée Arcadia Finance a été exploité, et les estimations suggèrent qu’environ 2,5 millions de dollars de crypto-monnaie ont été drainés.

Arcadia Finance, qui opère sur la blockchain Base, a été ciblée le 15 juillet par une attaque rapide et sophistiquée qui a drainé les fonds des utilisateurs de plusieurs coffres-forts.

Selon la société de sécurité blockchain Cyvers, l’attaquant a exploité une faille dans le contrat Rebalancer d’Arcadia en transmettant des paramètres d’échange arbitraires.

Cela leur a permis de déclencher des échanges de jetons non autorisés qui ont contourné les vérifications normales, ce qui leur a finalement permis de drainer des fonds des coffres-forts des utilisateurs sans validation appropriée.

Vers 04:05:58 UTC aujourd’hui, les attaquants ont déployé un contrat malveillant et déclenché une série de transactions non autorisées.

En l’espace d’une minute, l’attaquant a commencé à siphonner des fonds de la plateforme, puis à convertir les jetons volés en Ethereum enveloppé (WETH) sur le réseau de base avant de les relier aux adresses du réseau principal Ethereum.

Cyvers a retracé les fonds et a constaté que l’attaquant avait reçu 199 WETH et plus de 965 millions de jetons AERO au cours du processus d’échange.

Les crypto-monnaies volées comprenaient environ 2,3 millions d’USDC et 227 000 USDS, répartis sur 12 adresses touchées.

Pour dissimuler leur piste, l’attaquant a distribué les fonds à travers des portefeuilles intermédiaires, Cyvers estimant que l’attaquant pourrait se préparer à blanchir les fonds via des mélangeurs de crypto-monnaies.

En tant que mesure immédiate après l’incident, Arcadia Finance a publié une alerte publique exhortant les utilisateurs à révoquer les autorisations accordées au rééquilibrage de la plateforme.

L’équipe a reconnu l’exploit sur les réseaux sociaux, confirmant des « transactions non autorisées via un rééquilibreur » et a assuré aux utilisateurs que plus d’informations suivraient.

Les chercheurs de Cyvers ont recommandé de contacter les échanges et les opérateurs de ponts pour mettre sur liste noire les adresses de l’attaquant sur Base et Ethereum et déposer des rapports auprès des forces de l’ordre afin d’éviter d’autres attaques.

Ce n’est pas la première fois qu’Arcadia Finance est victime d’un exploit ayant entraîné des pertes.

En juillet 2023, le protocole a perdu environ 455 000 $ en raison d’une autre vulnérabilité dans le code de certains de ses contrats.

À l’époque, la plupart des fonds volés ont été acheminés par Tornado Cash.

Les exploits de la DeFi continuent de tourmenter les utilisateurs de cryptomonnaies

L’exploit d’Arcadia Finance est le dernier d’une série d’exploits liés à la DeFi qui ont transpiré ces derniers mois.

Rien que le mois dernier, plusieurs protocoles ont été exploités par des acteurs malveillants.

Par exemple, fin juin, un pirate informatique a pu lancer une attaque de manipulation des prix sur le protocole DeFi Resupply pour siphonner environ 9,6 millions de dollars en cryptomonnaies.

Quelques jours auparavant, l’auditeur de sécurité Blockchain Hacken a perdu environ 250 000 $ de son jeton HAI natif en raison d’une clé privée compromise.

Plus de 2,47 milliards de dollars ont été perdus à cause de piratages, d’escroqueries et d’exploits dans le secteur de la cryptographie, selon la société de sécurité blockchain CertiK.

Comme indiqué précédemment dans Invezz, le deuxième trimestre 2025 a enregistré à lui seul des pertes de plus de 800 millions de dollars en raison de 144 incidents, bien que ce chiffre représente une baisse de 52 % de la valeur totale perdue par rapport au premier trimestre.