Arcadia Finance explorada por US$ 2,5 milhões devido a uma vulnerabilidade no contrato do Rebalanceador

O protocolo financeiro descentralizado Arcadia Finance foi explorado e as estimativas sugerem que cerca de US$ 2,5 milhões em criptomoedas foram drenados.

A Arcadia Finance, que opera na blockchain Base, foi alvo em 15 de julho de um ataque rápido e sofisticado que drenou fundos de usuários de vários cofres.

De acordo com a empresa de segurança blockchain Cyvers, o invasor explorou uma falha no contrato Rebalancer da Arcadia, passando parâmetros de troca arbitrários.

Isso permitiu que eles acionassem trocas de tokens não autorizadas que ignoravam as verificações normais, permitindo que eles drenassem fundos dos cofres dos usuários sem a devida validação.

Por volta das 04:05:58 UTC de hoje, os invasores implantaram um contrato malicioso e acionaram uma sequência de transações não autorizadas.

Em um minuto, o invasor começou a desviar fundos da plataforma e, posteriormente, converter os tokens roubados em Wrapped Ethereum (WETH) na rede Base antes de conectá-los aos endereços da rede principal Ethereum.

A Cyvers rastreou os fundos e descobriu que o invasor recebeu 199 tokens WETH e mais de 965 milhões de tokens AERO durante o processo de troca.

As criptomoedas roubadas incluíam aproximadamente 2,3 milhões de USDC e 227.000 USDS, distribuídos em 12 endereços afetados.

Para obscurecer seu rastro, o invasor distribuiu os fundos em carteiras intermediárias, com Cyvers estimando que o invasor pode estar se preparando para lavar os fundos por meio de mixers de criptomoedas.

Como medida imediata após o incidente, a Arcadia Finance emitiu um alerta público pedindo aos usuários que revoguem as permissões concedidas ao Rebalanceador da plataforma.

A equipe reconheceu a exploração nas redes sociais, confirmando "transações não autorizadas por meio de um Rebalanceador" e garantiu aos usuários que mais informações seguiriam.

Pesquisadores da Cyvers recomendaram entrar em contato com exchanges e operadores de pontes para colocar na lista negra os endereços do invasor no Base e Ethereum e registrar relatórios com as autoridades para evitar novos ataques.

Esta não é a primeira vez que a Arcadia Finance é vítima de um exploit que levou a perdas.

Em julho de 2023, o protocolo perdeu cerca de US$ 455.000 devido a outra vulnerabilidade no código em alguns de seus contratos.

Na época, a maioria dos fundos roubados foi canalizada através do Tornado Cash.

Explorações de DeFi continuam a atormentar usuários de criptomoedas

O exploit do Arcadia Finance é o mais recente de uma série de exploits relacionados ao defi que ocorreram nos últimos meses.

Somente no mês passado, vários protocolos foram explorados por agentes mal-intencionados.

Por exemplo, no final de junho, um hacker conseguiu lançar um ataque de manipulação de preços no protocolo DeFi Resupply para desviar cerca de US$ 9,6 milhões em criptomoedas.

Poucos dias antes, o auditor de segurança da Blockchain, Hacken, perdeu cerca de US$ 250.000 em seu token HAI nativo devido a uma chave privada comprometida.

Mais de US$ 2,47 bilhões foram perdidos em hacks, golpes e exploits em todo o setor de criptomoedas, de acordo com a empresa de segurança blockchain CertiK.

Conforme abordado anteriormente na Invezz, somente o segundo trimestre de 2025 registrou mais de US$ 800 milhões em perdas de 144 incidentes, embora o número tenha representado uma queda de 52% no valor total perdido em comparação com o primeiro trimestre.