Protokół DeFi firmy Arcadia Finance padł ofiarą włamania o wartości 455 000 USD

• Haker wykorzystał lukę w kodzie
• Przeniósł około 180 skradzionych ETH do Tornado Cash
• Kolejne 103 ETH pozostały w portfelu
• Arcadia Finance zawiesza wykonywanie kontraktów

Rankiem 10 lipca badacz blockchain PeckShield ogłosił na Twitterze, że odkrył exploit w zdecentralizowanym protokole Arcadia Finance.

PeckShield zauważył, że Arcadia Finance została zhakowana z powodu «braku zaufanej walidacji danych wejściowych». Rzekomo w kodzie brakuje mechanizmu sprawdzania niezweryfikowanych danych wejściowych. To właśnie ta luka pozwoliła hakerowi wypłacić środki o wartości około 455 000 USD z magazynów Ethereum (darcWETH) i Optimism (darcUSDC). Przedstawiciele firmy stwierdzili jednak, że główna przyczyna podana przez PeckShield była nieprawidłowa.

Arcadia Finance potwierdziła później włamanie. Firma napisała na Twitterze:

«Jesteśmy świadomi potencjalnej luki w naszym protokole. Tymczasowo zawiesiliśmy umowy i współpracujemy z ekspertami ds. bezpieczeństwa w celu zbadania pierwotnej przyczyny.Podzielimy siędodatkowymi informacjami, gdy tylko staną się dostępne»

Później PeckShield odkrył kolejną lukę w protokole, która, jeśli zostanie wykorzystana, może okazać się śmiertelna dla protokołu. Według badacza blockchain nie ma ochrony przed ponownym wejściem, co mogłoby pozwolić na ominięcie wewnętrznej weryfikacji stanu magazynu podczas szybkiej likwidacji.

Co ciekawe, w drugim kwartale 2023 r. około 204 mln USD zostało ut raconych z powodu włamań i oszustw w dziedzinie zdecentralizowanych finansów.