Arcadia Finance uitgebuit voor $ 2.5 miljoen vanwege een kwetsbaarheid in het Rebalancer-contract

Het gedecentraliseerde financiële protocol Arcadia Finance is uitgebuit en schattingen suggereren dat er voor ongeveer $2,5 miljoen aan cryptocurrency is leeggemaakt.

Arcadia Finance, dat actief is op de Base-blockchain, was op 15 juli het doelwit van een snelle en geavanceerde aanval die gebruikersgeld uit meerdere kluizen haalde.

Volgens blockchain-beveiligingsbedrijf Cyvers maakte de aanvaller misbruik van een fout in Arcadia's Rebalancer-contract door willekeurige swapparameters door te geven.

Hierdoor konden ze ongeautoriseerde token-swaps activeren die de normale controles omzeilden, waardoor ze uiteindelijk geld uit gebruikerskluizen konden halen zonder de juiste validatie.

Rond 04:05:58 UTC vandaag hebben de aanvallers een kwaadaardig contract ingezet en een reeks ongeautoriseerde transacties in gang gezet.

Binnen een minuut begon de aanvaller geld van het platform over te hevelen en vervolgens de gestolen tokens om te zetten naar Wrapped Ethereum (WETH) op het Base-netwerk voordat hij ze overbrugde naar Ethereum-mainnetadressen.

Cyvers traceerde het geld en ontdekte dat de aanvaller tijdens het swapproces 199 WETH en meer dan 965 miljoen AERO-tokens ontving.

De gestolen cryptocurrencies omvatten ongeveer 2,3 miljoen USDC en 227.000 USDS, verdeeld over 12 getroffen adressen.

Om hun spoor te verdoezelen, verdeelde de aanvaller het geld over tussenliggende portefeuilles, waarbij Cyvers schatte dat de aanvaller zich mogelijk voorbereidde om het geld wit te wassen via cryptocurrency-mixers.

Als onmiddellijke maatregel na het incident heeft Arcadia Finance een openbare waarschuwing afgegeven waarin gebruikers worden aangespoord om de machtigingen die zijn verleend aan de Rebalancer van het platform in te trekken.

Het team heeft de exploit op sociale media erkend en "ongeautoriseerde transacties via een Rebalancer" bevestigd en gebruikers verzekerd dat er meer informatie zou volgen.

Onderzoekers van Cyvers hebben aanbevolen contact op te nemen met beurzen en bridge-operators om de adressen van de aanvaller op Base en Ethereum op de zwarte lijst te zetten en rapporten in te dienen bij wetshandhavers om verdere aanvallen te voorkomen.

Dit is niet de eerste keer dat Arcadia Finance het slachtoffer wordt van een exploit die tot verliezen heeft geleid.

In juli 2023 verloor het protocol ongeveer $ 455,000 als gevolg van een andere kwetsbaarheid in de code in sommige van zijn contracten.

Destijds werd het grootste deel van het gestolen geld via Tornado Cash doorgesluisd.

DeFi-exploits blijven crypto-gebruikers teisteren

De Arcadia Finance-exploit is de laatste in een reeks defi-gerelateerde exploits die de afgelopen maanden hebben plaatsgevonden .

Alleen al vorige maand werden meerdere protocollen uitgebuit door kwaadwillenden.

Eind juni was een hacker bijvoorbeeld in staat om een prijsmanipulatie-aanval op het DeFi-protocol Resupply te lanceren om ongeveer $9,6 miljoen aan crypto over te hevelen.

Slechts enkele dagen eerder verloor Blockchain-beveiligingsauditor Hacken ongeveer $ 250.000 aan zijn native HAI-token als gevolg van een gecompromitteerde privésleutel.

Volgens blockchain-beveiligingsbedrijf CertiK is meer dan $ 2,47 miljard verloren gegaan door hacks, oplichting en exploits in de cryptosector.

Zoals eerder besproken in Invezz, zag Q2 2025 alleen al meer dan $800 miljoen aan verliezen door 144 incidenten, hoewel het cijfer een daling van 52% in totale verloren waarde vertegenwoordigde in vergelijking met het eerste kwartaal.