Arcadia Finance була експлуатована на 2,5 млн доларів через уразливість у контракті Rebalancer

Децентралізований фінансовий протокол Arcadia Finance був скомпрометований, і оцінки свідчать, що приблизно криптовалюти на суму $2.5 мільйона було вкрадено.

Arcadia Finance, яка працює на блокчейні Base, стала мішенню 15 липня в результаті швидкої та складної атаки, яка вивела кошти користувачів з кількох сховищ.

Згідно з компанією з безпеки блокчейну Cyvers, зловмисник використав вразливість у контракті Rebalancer Arcadia, передавши довільні параметри обміну.

Це дозволило їм ініціювати несанкціоновані обміни токенів, які обходили звичайні перевірки, врешті-решт дозволяючи їм виводити кошти з користувацьких сховищ без належної валідації.

Сьогодні о приблизно 04:05:58 UTC зловмисники розгорнули шкідливий контракт і ініціювали послідовність несанкціонованих транзакцій.

Протягом хвилини зловмисник почав викачувати кошти з платформи, а потім конвертував вкрадені токени в Wrapped Ethereum (WETH) на мережі Base, перш ніж перенести їх на адреси основної мережі Ethereum.

Cyvers відслідкував кошти і виявив, що атакуючий отримав 199 WETH і понад 965 мільйонів AERO токенів під час процесу обміну

Викрадені криптовалюти включали приблизно 2,3 мільйона USDC та 227 000 USDS, розподілених між 12 постраждалими адресами.

Щоб замаскувати свої сліди, зловмисник розподілив кошти між проміжними гаманцями, при цьому Cyvers оцінює, що зловмисник може готуватися відмити кошти через криптовалютні міксери.

Як невідкладний захід після інциденту, Arcadia Finance випустила публічне попередження, закликаючи користувачів відкликати дозволи, надані платформі Rebalancer.

Команда визнала експлуатацію в соціальних мережах, підтвердивши «неавторизовані транзакції через Rebalancer» і запевнила користувачів, що незабаром з'явиться більше інформації.

Дослідники з Cyvers рекомендують звернутися до бірж і операторів мостів, щоб заблокувати адреси нападника на Base та Ethereum, а також подати звіти до правоохоронних органів для запобігання подальшим атакам.

Це не перший раз, коли Arcadia Finance стала жертвою експлойту, що призвів до втрат.

У липні 2023 року протокол втратив близько 455 000 доларів через ще одну уразливість у коді в деяких з його контрактів

На той час більшість вкрадених коштів проходила через Tornado Cash.

Експлойти DeFi продовжують мучити користувачів криптовалюти

Експлуатація Arcadia Finance є останньою в серії експлуатацій, пов'язаних з дефі, які відбулися в останні місяці.

Тільки минулого місяця кілька протоколів були експлуатовані зловмисниками.

Наприклад, наприкінці червня хакер зміг здійснити атаку маніпуляції цінами на DeFi протокол Resupply, щоб викачати приблизно 9,6 мільйона доларів у криптовалюті.

Всього за кілька днів до цього, аудитору безпеки блокчейну Hacken було втрачене приблизно $250,000 вартості його рідного токена HAI через компрометований приватний ключ.

Більше 2,47 мільярда доларів було втрачено через злами, шахрайства та експлойти в крипто-секторі, згідно з даними компанії з безпеки блокчейну CertiK.

Як раніше згадувалося в Invezz, тільки у 2 кварталі 2025 року було зафіксовано понад 800 мільйонів доларів збитків від 144 інцидентів, хоча ця цифра представляла собою зниження на 52% у загальному обсязі втрат порівняно з першим кварталом.

Пост про те, що Arcadia Finance експлуатували на $2.5M через вразливість у контракті Rebalancer, вперше з'явився на Invezz