Arcadia Finance dieksploitasi dengan harga $2.5 juta kerana kelemahan dalam kontrak Pengimbang Semula

Protokol kewangan terdesentralisasi Arcadia Finance telah dieksploitasi, dan anggaran mencadangkan mata wang kripto bernilai kira-kira $2.5 juta telah disalirkan.

Arcadia Finance, yang beroperasi pada blockchain Base, disasarkan pada 15 Julai dalam serangan pantas dan canggih yang mengalirkan dana pengguna daripada berbilang peti besi.

Menurut firma keselamatan blockchain Cyvers, penyerang mengeksploitasi kelemahan dalam kontrak Rebalancer Arcadia dengan menghantar parameter swap sewenang-wenangnya. 

Ini membolehkan mereka mencetuskan pertukaran token tanpa kebenaran yang memintas semakan biasa, akhirnya membolehkan mereka mengalirkan dana daripada peti besi pengguna tanpa pengesahan yang betul.

Pada sekitar 04:05:58 UTC hari ini, penyerang menggunakan kontrak berniat jahat dan mencetuskan urutan transaksi yang tidak dibenarkan. 

Dalam masa satu minit, penyerang mula menyedut dana daripada platform dan seterusnya menukar token yang dicuri kepada Wrapped Ethereum (WETH) pada rangkaian Pangkalan sebelum merapatkannya ke alamat mainnet Ethereum.

Cyvers mengesan dana dan mendapati bahawa penyerang menerima 199 WETH dan lebih 965 juta token AERO semasa proses pertukaran. 

Mata wang kripto yang dicuri termasuk kira-kira 2.3 juta USDC dan 227,000 USDS, diedarkan di 12 alamat yang terjejas. 

Untuk mengaburkan jejak mereka, penyerang mengedarkan dana merentasi dompet perantara, dengan Cyvers menganggarkan bahawa penyerang mungkin sedang bersiap sedia untuk mencuci dana melalui pengadun mata wang kripto.

Sebagai langkah segera selepas kejadian, Arcadia Finance telah mengeluarkan amaran awam yang menggesa pengguna untuk membatalkan kebenaran yang diberikan kepada Rebalancer platform. 

Pasukan itu telah mengakui eksploitasi itu di media sosial, mengesahkan "transaksi yang tidak dibenarkan melalui Pengimbang Semula" dan memberi jaminan kepada pengguna bahawa lebih banyak maklumat akan menyusul.

Penyelidik di Cyvers telah mengesyorkan menghubungi bursa dan pengendali jambatan untuk menyenaraihitamkan alamat penyerang di Base dan Ethereum dan memfailkan laporan dengan penguatkuasaan undang-undang untuk mengelakkan serangan selanjutnya.

Ini bukan kali pertama Arcadia Finance menjadi mangsa eksploitasi yang membawa kepada kerugian.

Pada Julai 2023, protokol itu kehilangan sekitar $455,000 disebabkan oleh satu lagi kelemahan dalam kod merentas beberapa kontraknya.

Pada masa itu, kebanyakan dana yang dicuri disalurkan melalui Tornado Cash.

Eksploitasi DeFi terus melanda pengguna kripto

Eksploitasi Arcadia Finance ialah yang terbaru dalam rentetan eksploitasi berkaitan defi yang telah berlaku dalam beberapa bulan kebelakangan ini.

Bulan lepas sahaja, pelbagai protokol telah dieksploitasi oleh pelaku jahat.

Sebagai contoh, pada akhir bulan Jun, penggodam dapat melancarkan serangan manipulasi harga pada protokol DeFi Bekalan Semula untuk menyedut kira-kira $9.6 juta dalam kripto.

Hanya beberapa hari sebelum itu, juruaudit keselamatan Blockchain Hacken kehilangan kira-kira $250,000 token HAI aslinya kerana kunci peribadi yang terjejas. 

Lebih $2.47 bilion telah hilang akibat penggodaman, penipuan dan eksploitasi di seluruh sektor kripto, menurut firma keselamatan blockchain CertiK.

Seperti yang dibincangkan sebelum ini dalam Invezz, Q2 2025 sahaja menyaksikan lebih daripada $800 juta kerugian daripada 144 insiden, walaupun angka itu mewakili penurunan 52% dalam jumlah nilai yang hilang berbanding suku pertama.