Arcadia Finance exploitée pour 2,5 millions de dollars en raison d'une vulnérabilité dans le contrat Rebalancer

Le protocole de finance décentralisée Arcadia Finance a été exploité, et les estimations suggèrent qu'environ 2,5 millions de dollars de cryptomonnaie ont été drainés.

Arcadia Finance, qui fonctionne sur la blockchain Base, a été ciblée le 15 juillet lors d'une attaque rapide et sophistiquée qui a vidé les fonds des utilisateurs de plusieurs coffres.

Selon la société de sécurité blockchain Cyvers, l'attaquant a exploité une faille dans le contrat Rebalancer d'Arcadia en passant des paramètres d'échange arbitraires.

Cela leur a permis de déclencher des échanges de jetons non autorisés contournant les vérifications normales, leur permettant finalement de siphonner des fonds des coffres d'utilisateurs sans validation appropriée.

Aujourd'hui, vers 04:05:58 UTC, les attaquants ont déployé un contrat malveillant et déclenché une série de transactions non autorisées.

En moins d'une minute, l'attaquant a commencé à siphonner des fonds de la plateforme et à convertir par la suite les jetons volés en Wrapped Ethereum (WETH) sur le réseau Base avant de les transférer vers des adresses du réseau principal Ethereum.

Cyvers a retracé les fonds et a découvert que l'attaquant avait reçu 199 WETH et plus de 965 millions de tokens AERO durant le processus d'échange.

Les cryptomonnaies volées comprenaient environ 2,3 millions de USDC et 227 000 USDS, réparties sur 12 adresses affectées.

Pour obscurcir leur piste, l'attaquant a distribué les fonds à travers des portefeuilles intermédiaires, Cyvers estimant que l'attaquant pourrait se préparer à blanchir les fonds via des mélangeurs de cryptomonnaie.

En tant que mesure immédiate après l'incident, Arcadia Finance a émis une alerte publique exhortant les utilisateurs à révoquer les autorisations accordées au Rebalancer de la plateforme.

L'équipe a reconnu l'exploitation sur les réseaux sociaux, confirmant "des transactions non autorisées via un Rebalancer" et a assuré aux utilisateurs que plus d'informations suivraient.

Des chercheurs de Cyvers ont recommandé de contacter les échanges et les opérateurs de pont pour mettre sur liste noire les adresses de l'attaquant sur Base et Ethereum, et de déposer des rapports auprès des forces de l'ordre pour prévenir d'autres attaques.

Ce n'est pas la première fois qu'Arcadia Finance devient la victime d'une exploitation qui a entraîné des pertes.

En juillet 2023, le protocole a perdu environ 455 000 $ en raison d'une autre vulnérabilité dans le code de certains de ses contrats.

À l'époque, la plupart des fonds volés ont été canalisés à travers Tornado Cash.

Les exploits DeFi continuent de tourmenter les utilisateurs de crypto

L'exploitation d'Arcadia Finance est la dernière d'une série d'exploitations liées à la defi qui se sont produites ces derniers mois.

Le mois dernier seulement, plusieurs protocoles ont été exploités par de mauvais acteurs.

Par exemple, fin juin, un hacker a pu lancer une attaque de manipulation des prix sur le protocole DeFi Resupply pour siphonner environ 9,6 millions de dollars en crypto.

Juste quelques jours auparavant, l'auditeur de sécurité blockchain Hacken a perdu environ 250 000 $ de son jeton natif HAI en raison d'une clé privée compromise.

Selon la société de sécurité blockchain CertiK, plus de 2,47 milliards de dollars ont été perdus à cause de piratages, d'escroqueries et d'exploits dans le secteur de la crypto.

Comme précédemment couvert dans Invezz, le seul deuxième trimestre 2025 a enregistré plus de 800 millions de dollars de pertes provenant de 144 incidents, bien que ce chiffre représente une baisse de 52 % de la valeur totale perdue par rapport au premier trimestre.

Le post Arcadia Finance exploité pour 2,5 millions de dollars en raison d'une vulnérabilité dans le contrat Rebalancer est apparu en premier sur Invezz