Arcadia Finance был взломан на 2,5 миллиона долларов из-за уязвимости в контракте Rebalancer

Децентрализованный финансовый протокол Arcadia Finance был взломан, и по оценкам, примерно на сумму $2.5 миллиона в криптовалюте было похищено.

Arcadia Finance, который работает на блокчейне Base, стал жертвой быстрого и сложного атаки 15 июля, в результате которой были выведены средства пользователей из нескольких хранилищ.

По данным компании по безопасности блокчейна Cyvers, злоумышленник воспользовался уязвимостью в контракте Rebalancer Arcadia, передав произвольные параметры обмена.

Это позволило им инициировать несанкционированные обмены токенов, которые обходили обычные проверки, в конечном итоге позволяя им выводить средства из хранилищ пользователей без надлежащей проверки.

Сегодня в 04:05:58 UTC злоумышленники развернули вредоносный контракт и инициировали последовательность несанкционированных транзакций.

В течение минуты злоумышленник начал откачивать средства с платформы, а затем конвертировал украденные токены в Wrapped Ethereum (WETH) в сети Base, прежде чем перенести их на адреса основной сети Ethereum.

Cyvers отследил средства и обнаружил, что злоумышленник получил 199 WETH и более 965 миллионов токенов AERO в процессе обмена

Украденные криптовалюты включали примерно 2,3 миллиона USDC и 227 000 USDS, распределенных по 12 пострадавшим адресам.

Чтобы скрыть свои следы, злоумышленник распределил средства по промежуточным кошелькам, при этом Cyvers оценивает, что злоумышленник может готовиться отмывать средства через криптовалютные миксеры.

В качестве немедленной меры после инцидента Arcadia Finance выпустила публичное предупреждение, призывающее пользователей отозвать разрешения, предоставленные Ребалансеру платформы.

Команда признала эксплойт в социальных сетях, подтвердив "несанкционированные транзакции через Ребалансер" и заверила пользователей, что дополнительная информация будет предоставлена.

Исследователи из Cyvers рекомендовали обратиться к биржам и операторам мостов, чтобы занести адреса злоумышленника в черный список на Base и Ethereum, а также подать отчеты в правоохранительные органы, чтобы предотвратить дальнейшие атаки.

Это не первый случай, когда Arcadia Finance стал жертвой эксплойта, который привел к убыткам.

В июле 2023 года Протокол потерял около 455 000 долларов из-за другой уязвимости в коде некоторых своих контрактов.

На тот момент большая часть украденных средств проходила через Tornado Cash.

Эксплойти DeFi продолжают преследовать пользователей криптовалюты

Эксплуатация Arcadia Finance является последней в череде связанных с DeFi эксплойтов, которые произошли в последние месяцы.

Только в прошлом месяце несколько протоколов были использованы злоумышленниками.

Например, в конце июня хакер смог провести атаку по манипуляции ценами на DeFi Протокол Resupply, чтобы похитить около 9,6 миллиона долларов в криптовалюте.

Всего за несколько дней до этого, аудитор безопасности Blockchain Hacken потерял около 250 000 долларов в своем родном токене HAI из-за скомпрометированного закрытого ключа.

По данным блокчейн-безопасной компании CertiK, в крипто-секторе было потеряно более 2,47 миллиарда долларов из-за взломов, мошенничества и эксплойтов.

Как уже упоминалось в Invezz, только во втором квартале 2025 года было зафиксировано более 800 миллионов долларов убытков из-за 144 инцидентов, хотя эта цифра представляет собой снижение на 52% по сравнению с первым кварталом.

Пост о том, что Arcadia Finance была эксплуатирована на $2.5M из-за уязвимости в контракте Rebalancer, появился первым на Invezz