Arcadia Finance utnyttet for 2,5 millioner dollar på grunn av en sårbarhet i Rebalancer-kontrakten

Den desentraliserte finansprotokollen Arcadia Finance har blitt utnyttet, og estimater tyder på at kryptovaluta til en verdi av omtrent 2,5 millioner dollar har blitt tappet.

Arcadia Finance, som opererer på Base-blokkjeden, ble målrettet 15.

Ifølge blokkjedesikkerhetsfirmaet Cyvers utnyttet angriperen en feil i Arcadias Rebalancer-kontrakt ved å sende inn vilkårlige bytteparametere.

Dette tillot dem å utløse uautoriserte token-bytter som omgikk normale kontroller, og til slutt tillot dem å tømme midler fra brukerhvelv uten riktig validering.

Rundt 04:05:58 UTC i dag distribuerte angriperne en ondsinnet kontrakt og utløste en sekvens av uautoriserte transaksjoner.

I løpet av et minutt begynte angriperen å suge midler fra plattformen og deretter konvertere de stjålne tokenene til Wrapped Ethereum (WETH) på Base-nettverket før han broet dem til Ethereum-hovednettadresser.

Cyvers sporet midlene og fant ut at angriperen mottok 199 WETH og over 965 millioner AERO-tokens under bytteprosessen.

De stjålne kryptovalutaene inkluderte omtrent 2,3 millioner USDC og 227 000 USDS, fordelt på 12 berørte adresser.

For å skjule sporet deres distribuerte angriperen midlene på tvers av mellomliggende lommebøker, og Cyvers anslår at angriperen kan forberede seg på å hvitvaske midlene via kryptovalutamiksere.

Som et umiddelbart tiltak etter hendelsen har Arcadia Finance utstedt et offentlig varsel som oppfordrer brukere til å tilbakekalle tillatelser gitt til plattformens Rebalancer.

Teamet har erkjent utnyttelsen på sosiale medier, bekreftet "uautoriserte transaksjoner via en Rebalancer" og forsikret brukerne om at mer informasjon ville følge.

Forskere ved Cyvers har anbefalt å kontakte børser og brooperatører for å svarteliste angriperens adresser på Base og Ethereum og sende inn rapporter til rettshåndhevelse for å forhindre ytterligere angrep.

Dette er ikke første gang Arcadia Finance har blitt offer for en utnyttelse som førte til tap.

I juli 2023 tapte protokollen rundt $455 000 på grunn av en annen sårbarhet i kode på tvers av noen av kontraktene.

På den tiden ble de fleste av de stjålne midlene kanalisert gjennom Tornado Cash.

DeFi-utnyttelser fortsetter å plage kryptobrukere

Arcadia Finance-utnyttelsen er den siste i en rekke defi-relaterte utnyttelser som har skjedd de siste månedene.

Bare forrige måned ble flere protokoller utnyttet av dårlige aktører.

For eksempel, i slutten av juni, var en hacker i stand til å lansere et prismanipulasjonsangrep på DeFi-protokollen Resupply for å suge omtrent 9,6 millioner dollar i krypto.

Bare dager før mistet Blockchain-sikkerhetsrevisor Hacken omtrent 250 000 dollar av sitt opprinnelige HAI-token på grunn av en kompromittert privat nøkkel.

Over 2,47 milliarder dollar har gått tapt på grunn av hacks, svindel og utnyttelser på tvers av kryptosektoren, ifølge blokkjedesikkerhetsfirmaet CertiK.

Som tidligere dekket i Invezz, så Q2 2025 alene mer enn 800 millioner dollar i tap fra 144 hendelser, selv om tallet representerte et fall på 52 % i total tapt verdi sammenlignet med første kvartal.