Arcadia Finance sfruttata per 2,5 milioni di dollari a causa di una vulnerabilità nel contratto Rebalancer

Il protocollo di finanza decentralizzata Arcadia Finance è stato sfruttato e le stime suggeriscono che circa 2,5 milioni di dollari di criptovalute siano state prosciugate.

Arcadia Finance, che opera sulla blockchain Base, è stata presa di mira il 15 luglio in un attacco rapido e sofisticato che ha prosciugato i fondi degli utenti da più caveau.

Secondo la società di sicurezza blockchain Cyvers, l'aggressore ha sfruttato una falla nel contratto Rebalancer di Arcadia passando parametri di swap arbitrari.

Ciò ha permesso loro di attivare scambi di token non autorizzati che hanno aggirato i normali controlli, consentendo loro di drenare fondi dai caveau degli utenti senza un'adeguata convalida.

Intorno alle 04:05:58 UTC di oggi, gli aggressori hanno distribuito un contratto dannoso e hanno attivato una sequenza di transazioni non autorizzate.

Nel giro di un minuto, l'aggressore ha iniziato a sottrarre fondi dalla piattaforma e successivamente a convertire i token rubati in Wrapped Ethereum (WETH) sulla rete Base prima di collegarli agli indirizzi della mainnet di Ethereum.

Cyvers ha rintracciato i fondi e ha scoperto che l'aggressore ha ricevuto 199 WETH e oltre 965 milioni di token AERO durante il processo di scambio.

Le criptovalute rubate includevano circa 2,3 milioni di USDC e 227.000 USDS, distribuiti su 12 indirizzi interessati.

Per nascondere le loro tracce, l'aggressore ha distribuito i fondi su portafogli intermediari, con Cyvers che stima che l'aggressore potrebbe prepararsi a riciclare i fondi tramite mixer di criptovalute.

Come misura immediatamente successiva all'incidente, Arcadia Finance ha emesso un avviso pubblico esortando gli utenti a revocare le autorizzazioni concesse al Rebalancer della piattaforma.

Il team ha riconosciuto l'exploit sui social media, confermando "transazioni non autorizzate tramite un ribilanciatore" e assicurando agli utenti che seguiranno ulteriori informazioni.

I ricercatori di Cyvers hanno raccomandato di contattare gli exchange e gli operatori di bridge per inserire nella lista nera gli indirizzi dell'aggressore su Base ed Ethereum e presentare rapporti alle forze dell'ordine per prevenire ulteriori attacchi.

Non è la prima volta che Arcadia Finance è vittima di un exploit che ha portato a delle perdite.

Nel luglio 2023, il protocollo ha perso circa 455.000$ a causa di un'altra vulnerabilità nel codice di alcuni dei suoi contratti.

All'epoca, la maggior parte dei fondi rubati veniva incanalata attraverso Tornado Cash.

Gli exploit DeFi continuano ad affliggere gli utenti di criptovalute

L'exploit di Arcadia Finance è l'ultimo di una serie di exploit legati alla DeFi che sono emersi negli ultimi mesi.

Solo il mese scorso, diversi protocolli sono stati sfruttati da malintenzionati.

Ad esempio, alla fine di giugno, un hacker è stato in grado di lanciare un attacco di manipolazione dei prezzi al protocollo DeFi Resupply per sottrarre circa 9,6 milioni di dollari in criptovalute.

Solo pochi giorni prima, il revisore della sicurezza blockchain Hacken ha perso circa 250.000$ del suo token nativo HAI a causa di una chiave privata compromessa.

Secondo la società di sicurezza blockchain CertiK, oltre 2,47 miliardi di dollari sono stati persi a causa di hack, truffe ed exploit in tutto il settore delle criptovalute.

Come precedentemente riportato in Invezz, il solo Q2 2025 ha visto più di 800 milioni di dollari di perdite a causa di 144 incidenti, sebbene la cifra rappresenti un calo del 52% del valore totale perso rispetto al primo trimestre.