Arcadia Finance bị khai thác 2.5 triệu USD do lỗ hổng trong hợp đồng Rebalancer

Giao thức tài chính phi tập trung Arcadia Finance đã bị khai thác, và ước tính cho thấy khoảng 2.5 triệu đô la tiền điện tử đã bị rút ra.

Arcadia Finance, hoạt động trên blockchain Base, đã trở thành mục tiêu vào ngày 15 tháng 7 trong một cuộc tấn công nhanh chóng và tinh vi đã rút cạn quỹ của người dùng từ nhiều kho.

Theo công ty an ninh blockchain Cyvers, kẻ tấn công đã khai thác một lỗ hổng trong hợp đồng Rebalancer của Arcadia bằng cách truyền vào các tham số hoán đổi tùy ý.

Điều này đã cho phép họ kích hoạt các giao dịch hoán đổi token trái phép mà bỏ qua các kiểm tra thông thường, cuối cùng cho phép họ rút tiền từ các kho tiền của người dùng mà không có xác thực đúng cách.

Vào khoảng 04:05:58 UTC hôm nay, những kẻ tấn công đã triển khai một hợp đồng độc hại và kích hoạt một chuỗi giao dịch trái phép.

Trong vòng một phút, kẻ tấn công bắt đầu rút tiền từ nền tảng và sau đó chuyển đổi các token bị đánh cắp thành Wrapped Ethereum (WETH) trên mạng Base trước khi chuyển chúng đến các địa chỉ mainnet Ethereum.

Cyvers đã theo dõi các khoản tiền và phát hiện rằng kẻ tấn công đã nhận 199 WETH và hơn 965 triệu token AERO trong quá trình hoán đổi.

Các loại tiền điện tử bị đánh cắp bao gồm khoảng 2,3 triệu USDC và 227.000 USDS, phân phối qua 12 địa chỉ bị ảnh hưởng.

Để che giấu dấu vết của mình, kẻ tấn công đã phân phối các quỹ qua các ví trung gian, với Cyvers ước tính rằng kẻ tấn công có thể đang chuẩn bị để rửa tiền thông qua các máy trộn tiền điện tử.

Như một biện pháp ngay lập tức sau sự cố, Arcadia Finance đã phát đi thông báo công khai kêu gọi người dùng thu hồi quyền truy cập đã cấp cho Rebalancer của nền tảng.

Đội ngũ đã thừa nhận lỗ hổng trên mạng xã hội, xác nhận "giao dịch không được ủy quyền qua một Rebalancer" và đảm bảo với người dùng rằng sẽ có thêm thông tin trong thời gian tới.

Các nhà nghiên cứu tại Cyvers đã khuyến nghị liên hệ với các sàn giao dịch và nhà điều hành cầu để đưa vào danh sách đen các địa chỉ của kẻ tấn công trên Base và Ethereum và gửi báo cáo cho các cơ quan thực thi pháp luật để ngăn chặn các cuộc tấn công tiếp theo.

Đây không phải là lần đầu tiên Arcadia Finance trở thành nạn nhân của một cuộc khai thác dẫn đến thiệt hại.

Vào tháng 7 năm 2023, giao thức đã mất khoảng $455,000 do một lỗ hổng khác trong mã trên một số hợp đồng của nó.

Vào thời điểm đó, hầu hết số tiền bị đánh cắp đã được chuyển qua Tornado Cash.

Các vụ khai thác DeFi tiếp tục gây rắc rối cho người dùng crypto

Cuộc tấn công Arcadia Finance là vụ tấn công mới nhất trong một loạt các vụ tấn công liên quan đến defi đã xảy ra trong những tháng gần đây.

Chỉ riêng tháng trước, nhiều giao thức đã bị kẻ xấu khai thác.

Chẳng hạn, vào cuối tháng Sáu, một hacker đã có thể khởi động một cuộc tấn công thao túng giá trên giao thức DeFi Resupply để siphon khoảng 9,6 triệu đô la tiền điện tử.

Chỉ vài ngày trước, công ty kiểm toán an ninh Blockchain Hacken đã mất khoảng 250.000 đô la giá trị token HAI gốc của mình do một khóa riêng bị xâm phạm.

Hơn 2,47 tỷ đô la đã bị mất do hack, lừa đảo và khai thác trong lĩnh vực tiền điện tử, theo công ty an ninh blockchain CertiK.

Như đã đề cập trước đó trong Invezz, riêng quý 2 năm 2025 đã chứng kiến hơn 800 triệu đô la thiệt hại từ 144 sự cố, mặc dù con số này đại diện cho sự giảm 52% trong tổng giá trị thiệt hại so với quý đầu tiên.

Bài viết Arcadia Finance bị khai thác 2,5 triệu đô la do lỗ hổng trong hợp đồng Rebalancer xuất hiện đầu tiên trên Invezz