Arcadia Finance wykorzystana na 2,5 mln USD z powodu luki w kontrakcie Rebalancer

Zdecentralizowany protokół finansowy Arcadia Finance został wykorzystany, a szacunki sugerują, że kryptowaluta o wartości około 2,5 miliona dolarów została wydrenowana.

Arcadia Finance, która działa na blockchainie Base, została zaatakowana 15 lipca w szybkim i wyrafinowanym ataku, który wydrenował fundusze użytkowników z wielu skarbców.

Według firmy Cyvers zajmującej się bezpieczeństwem blockchain, atakujący wykorzystał lukę w kontrakcie Rebalancer firmy Arcadia, przekazując dowolne parametry swapu.

Pozwoliło im to na uruchomienie nieautoryzowanych swapów tokenów, które omijały normalne kontrole, ostatecznie pozwalając im na drenowanie środków ze skarbców użytkowników bez odpowiedniej walidacji.

Dzisiaj około godziny 04:05:58 UTC osoby atakujące wdrożyły złośliwy kontrakt i uruchomiły sekwencję nieautoryzowanych transakcji.

W ciągu minuty atakujący zaczął wyprowadzać środki z platformy, a następnie konwertować skradzione tokeny na Wrapped Ethereum (WETH) w sieci Base, a następnie przełączyć je na adresy mainnetu Ethereum.

Cyvers prześledził fundusze i odkrył, że atakujący otrzymał 199 tokenów WETH i ponad 965 milionów tokenów AERO podczas procesu wymiany.

Skradzione kryptowaluty obejmowały około 2,3 miliona USDC i 227 000 USDS, dystrybuowane na 12 dotkniętych adresów.

Aby zatrzeć ich ślad, atakujący rozprowadził środki po portfelach pośrednich, przy czym Cyvers szacuje, że atakujący może przygotowywać się do prania środków za pomocą mikserów kryptowalut.

Jako natychmiastowy środek po incydencie, Arcadia Finance wydała publiczny alert wzywający użytkowników do cofnięcia uprawnień przyznanych Rebalancerowi platformy.

Zespół potwierdził exploit w mediach społecznościowych, potwierdzając "nieautoryzowane transakcje za pośrednictwem Rebalancera" i zapewnił użytkowników, że wkrótce pojawi się więcej informacji.

Badacze z Cyvers zalecili skontaktowanie się z operatorami giełd i mostów w celu umieszczenia adresów atakującego na czarnej liście w Base i Ethereum oraz złożenia raportów organom ścigania, aby zapobiec dalszym atakom.

To nie pierwszy raz, kiedy Arcadia Finance padła ofiarą exploita, który doprowadził do strat.

W lipcu 2023 r. protokół stracił około 455 000 USD z powodu innej luki w kodzie w niektórych swoich kontraktach.

W tym czasie większość skradzionych środków została przekazana za pośrednictwem Tornado Cash.

Exploity DeFi nadal nękają użytkowników kryptowalut

Exploit Arcadia Finance jest najnowszym z serii exploitów związanych z defi, które miały miejsce w ostatnich miesiącach.

Tylko w zeszłym miesiącu wiele protokołów zostało wykorzystanych przez złych aktorów.

Na przykład pod koniec czerwca haker był w stanie przeprowadzić atak manipulacyjny na protokół DeFi Resupply, aby wyprowadzić około 9,6 miliona dolarów w kryptowalutach.

Zaledwie kilka dni wcześniej audytor bezpieczeństwa Blockchain Hacken stracił około 250 000 USD swojego natywnego tokena HAI z powodu zhańbionego klucza prywatnego.

Ponad 2,47 miliarda dolarów zostało utraconych w wyniku włamań, oszustw i exploitów w całym sektorze kryptowalut, według firmy CertiK zajmującej się bezpieczeństwem blockchain.

Jak już wcześniej pisaliśmy w Invezz, tylko w drugim kwartale 2025 r. odnotowano ponad 800 mln USD strat w wyniku 144 incydentów, chociaż liczba ta stanowiła 52% spadek całkowitej utraconej wartości w porównaniu z pierwszym kwartałem.