Arcadia Finance, Rebalancer sözleşmesindeki bir güvenlik açığı nedeniyle 2,5 milyon dolar istismar edildi

Merkeziyetsiz finans protokolü Arcadia Finance istismar edildi ve tahminler, yaklaşık 2,5 milyon dolar değerinde kripto paranın boşaltıldığını gösteriyor.

Base blok zinciri üzerinde faaliyet gösteren Arcadia Finance, 15 Temmuz'da birden fazla kasadan kullanıcı fonlarını çeken hızlı ve karmaşık bir saldırıda hedef alındı.

Blockchain güvenlik firması Cyvers'a göre saldırgan, Arcadia'nın Rebalancer sözleşmesindeki bir kusurdan yararlanarak rastgele takas parametreleri kullandı. 

Bu, normal kontrolleri atlayan yetkisiz token takaslarını tetiklemelerine izin verdi ve sonuç olarak uygun doğrulama olmadan kullanıcı kasalarından fonları boşaltmalarına izin verdi.

Bugün 04:05:58 UTC civarında, saldırganlar kötü amaçlı bir sözleşme dağıttı ve bir dizi yetkisiz işlemi tetikledi. 

Saldırgan bir dakika içinde platformdan para çekmeye başladı ve ardından çalınan tokenleri Ethereum ana ağ adreslerine köprülemeden önce Base ağında Wrapped Ethereum'a (WETH) dönüştürdü.

Cyvers, fonların izini sürdü ve saldırganın takas işlemi sırasında 199 WETH ve 965 milyondan fazla AERO tokeni aldığını tespit etti. 

Çalınan kripto para birimleri, etkilenen 12 adrese dağıtılan yaklaşık 2,3 milyon USDC ve 227.000 USDS içeriyordu. 

Saldırgan, izlerini gizlemek için fonları aracı cüzdanlara dağıttı ve Cyvers, saldırganın kripto para birimi karıştırıcıları aracılığıyla fonları aklamaya hazırlanıyor olabileceğini tahmin ediyor.

Arcadia Finance, olaydan hemen sonra bir önlem olarak, kullanıcıları platformun Rebalancer'ına verilen izinleri iptal etmeye çağıran bir kamu uyarısı yayınladı. 

Ekip, sosyal medyadaki istismarı kabul etti, "Rebalancer aracılığıyla yetkisiz işlemleri" doğruladı ve kullanıcılara daha fazla bilginin takip edeceğine dair güvence verdi.

Cyvers'taki araştırmacılar, saldırganın adreslerini Base ve Ethereum'da kara listeye almak ve daha fazla saldırıyı önlemek için kolluk kuvvetlerine rapor vermek için borsalar ve köprü operatörleriyle iletişime geçilmesini önerdi.

Bu, Arcadia Finance'in kayıplara yol açan bir istismarın kurbanı olduğu ilk sefer değil.

Temmuz 2023'te protokol, bazı sözleşmelerindeki koddaki başka bir güvenlik açığı nedeniyle yaklaşık $455.000 kaybetti.

O zamanlar, çalınan fonların çoğu Tornado Cash aracılığıyla yönlendirildi.

DeFi istismarları kripto kullanıcılarını rahatsız etmeye devam ediyor

Arcadia Finance istismarı, son aylarda ortaya çıkan bir dizi defi ile ilgili istismarın en sonuncusu.

Yalnızca geçen ay, kötü aktörler tarafından birden fazla protokol istismar edildi.

Örneğin, haziran ayı sonlarında bir bilgisayar korsanı, yaklaşık 9,6 milyon dolarlık kripto parayı hortumlamak için DeFi protokolü Resupply'a bir fiyat manipülasyon saldırısı başlatmayı başardı.

Sadece birkaç gün önce, Blockchain güvenlik denetçisi Hacken, güvenliği ihlal edilmiş bir özel anahtar nedeniyle yaklaşık 250.000 dolar değerinde yerel HAI tokenini kaybetti. 

Blockchain güvenlik firması CertiK'e göre, kripto sektöründeki hack'ler, dolandırıcılıklar ve istismarlar nedeniyle $2,47 milyardan fazla kaybedildi.

Daha önce Invezz'de ele alındığı gibi, yalnızca 2025'in 2. çeyreğinde 144 olaydan 800 milyon dolardan fazla kayıp görüldü, ancak bu rakam ilk çeyreğe kıyasla kaybedilen toplam değerde %52'lik bir düşüşü temsil ediyordu.