Arcadia Finance joutui 2,5M dollarin hakkeroinnin kohteeksi

Tiistaina hakkerit onnistuivat hyödyntämään haavoittuvuutta Arcadia Finance Rebalancer-sopimuksessa ja varastivat noin 2,5 miljoonan dollarin edestä kryptovaluuttaa Base-lohkoketjussa toimivalta DeFi-alustalta.
Lohkoketjuturvayhtiö Hackenin mukaan hyökkääjät manipuloivat swapData-parametreja toteuttaakseen luvattomia vaihtoja, joiden avulla he tyhjensivät käyttäjien varat holveista.
Varastetut kryptovarat – noin 2,3 miljoonaa USDC:tä ja 227 000 USDS-tokenia – vaihdettiin nopeasti Wrapped Ethereumiksi ja siirrettiin Ethereum-pääverkkoon vain tunneissa hyökkäyksen jälkeen.

Miten hyökkäys eteni
Hyökkäys käynnistyi 14. heinäkuuta klo 23.58 UTC, kun hyökkääjä rahoitti operaationsa Tornado Cashin kautta Ethereumin verkossa ja siirsi varat puoli tuntia myöhemmin Base-lohkoketjuun.
- heinäkuuta klo 04.03 UTC hyökkääjä otti käyttöön hyökkäyssopimuksensa Basessa ja laukaisi hyökkäyksen vain minuutti sopimuksen käyttöönoton jälkeen.
Useita eri varoja – kuten USDC, WETH, EURC, USDS, AERO ja WELL -tokeneita – tyhjennettiin järjestelmällisesti useissa tapahtumissa ja vaihdettiin välittömästi Etheriksi.
Hackenin mukaan haavoittuvuus johtui siitä, että Rebalancer-sopimus ei validoinut swapData-parametreja oikein, mikä mahdollisti hyökkääjän suorittaa luvattomia vaihtoja, jotka ohittivat normaalit turvatarkistukset.
Hyökkäyksen aikana tekijä sai haltuunsa 199 WETH:iä ja 965,8 miljoonaa AERO-tokenia, ja hyökkäys vaikutti yhteensä 12 eri osoitteeseen.
Kaikki varastetut varat siirrettiin pian tuoreille välivaiheosoitteille Ethereumissa, ilmeisesti tarkoituksena hämärtää jälkiä.
Arcadia Finance vahvisti tapahtuneen X:ssä julkaistussa lausunnossaan, todeten että kyseessä oli ”luvattomia tapahtumia Rebalancerin kautta” ja kehotti käyttäjiä välittömästi poistamaan kaikki oikeudet omaisuudenhallintaan.
Tiimi antoi käyttäjille tarkat ohjeet, miten he voivat siirtyä tiliasetuksiinsa ja perua aktiiviset Rebalancer-oikeudet – mukaan lukien vanhemmat rebalancerit, jotka löytyvät valikon alareunasta.
Lohkoketjuturvayhtiö Hacken kertoi, että varastetut varat siirrettiin Ethereum-verkkoon pian hyökkäyksen jälkeen. Vastaanottava transaktio käsitteli 839,3 WETH:n verran varoja Across Protocolin kautta.
DeFi-turvallisuushuolten kasvu jatkuu
Tämä hyökkäys on Arcadia Financelle jo toinen merkittävä tietoturvaloukkaus. Edellinen tapaus tapahtui lokakuussa 2023, jolloin alustan Ethereum- ja Optimism-holveista varastettiin 455 000 dollarin arvosta varoja puutteellisen syötteiden validoinnin vuoksi.
Edellinen tietomurto johtui vastaavanlaisista haavoittuvuuksista protokollan älysopimuskoodissa, mukaan lukien uudelleenkutsujen eston puutteesta, mikä mahdollisti hyökkääjien ohittaa sisäiset turvatarkistukset.
PeckShield varoitti vuoden 2023 tapauksen jälkeen lisähaavoittuvuuksista koodissa ja vihjasi, että alustan suojaustoimet olivat yhä riittämättömät.
Arcadia-hyökkäys osuu ajankohtaan, jolloin koko DeFi-ekosysteemi kamppailee laajempien turvallisuusongelmien kanssa. CertiKin mukaan vuoden 2025 ensimmäisellä puoliskolla on raportoitu 344 tapausta, joissa yhteensä yli 2,47 miljardin dollarin arvosta varoja on menetetty.
Lompakkoihin kohdistuneet murrot vastasivat peräti 1,7 miljardin dollarin tappioista vain 34 hyökkäyksessä. Kun puolestaan tietojenkalasteluhuijaukset veivät yli 410 miljoonaa dollaria 132 erillisessä tapauksessa.
Vaikka Base-lohkoketju saa taustatukea Coinbaselta ja on hiljattain lanseerannut 5 miljoonan dollarin bug bounty -ohjelman Cantinan kautta, verkko kohtaa edelleen vakavia turvallisuushaasteita institutionaalisen käytön kiihtyessä.
Verkon nopea kasvu – kuten JPMorganin valinta JPMD-digitaalitalletustokeninsa alustaksi ja Shopifyn USDC-maksujen käyttöönotto 34 maassa – tekee tietoturvaloukkauksista erityisen merkittäviä laajemman käyttöönoton kannalta.