Arcadia потеряла $2,5 млн: повторение драмы GMX?DeFi-площадка Arcadia Finance на сети Base лишилась около $2,5 млн за 60 секунд: хакер нашёл брешь в контракте Rebalancer, за минуту вывел 2,3 млн USDC и 227 тыс USDS, обменял их на 199 WETH плюс 965 млн AERO и мостом ушёл в Ethereum. Как и в случае недавнего хака GMX - помните «один клик, минус волатильность, плюс шоу»? - всё решило одно-единственное движение руки.
• Xaкep вocпoльзoвaлcя уязвимocтью в кoнтpaктe Rebalancer oт Arcadia Finance, измeнив пpoизвoльныe пapaмeтpы swapData. Этo пoзвoлилo пpoвecти нecaнкциoниpoвaнную cвoп-oпepaцию и вывecти aктивы из xpaнилищ пoльзoвaтeлeй, cooбщили в кoмпaнии Cуvers, cпeциaлизиpующeйcя нa бeзoпacнocти блoкчeйнa.
• Сам вредоносный контракт развернули и активировали буквально за 60 секунд.
Все средства быстро конвертировали в WETH и раскидали по «промежуточным» адресам, пытаясь скрыть следы перед микшерами.
• Команда Arcadia просит пользователей отозвать права на управление активами; протокол частично приостановлен, детали расследования обещаны позже.
Для Arcadia это уже второй взлом за два года; прошлый стоил ей $455 тыс.
Что может быть дальше?
3. Цепная реакция аудитов. DeFi-проекты на Base (и не только) срочно пересматривают логику «ребалансеров», чтобы избежать copy-paste-катастрофы.
2. Короткие волны ликвидности. Если вор начнёт дробить WETH и гонять через миксеры, часть средств может попасть на DEX-ы: следите за всплесками объёмов и странными ордерами.
1. Рыночная психология. Один-единственный адрес снова раскачал доверие к целой сети - это напоминает, что цена DeFi-токенов часто зависит не от графиков, а от трёх строк кода.
Хотите больше подобных инсайтов и аналитики? Подписывайтесь! 🚀
