Comparte este artículo
El protocolo DeFi Arcadia Finance fue víctima de un exploit de código, lo que provocó una pérdida significativa de aproximadamente $ 455,000. La firma de seguridad Blockchain PeckShield fue la primera en detectar y revelar la violación, atribuyéndola a una supervisión de codificación relacionada con la validación de entrada no confiable.
#AlertaPeckShield Nuestro colaborador de la comunidad ha detectado que @ArcadiaFi ha sido explotado en ambos #etéreo y #Optimismo por ~$455K
El explotador en #etéreo fue ejecutado por 0x5C75e94dD0Ab9c10BFd1B8073DafEF031D3c050dhttps://t.co/blGx5IEAkk
El explotador en #optimismo… pic.twitter.com/WDzF0XVcmL
— PeckShieldAlert (@PeckShieldAlert) 10 de julio de 2023
La laguna permitió al infiltrado drenar fondos de las bóvedas Ethereum y Optimism de Arcadia, dejando el protocolo DeFi en una posición precaria, según PeckShield. Tras la alerta, Arcadia Finance confirmó rápidamente la infracción y suspendió los contratos afectados, intentando bloquear más pérdidas.
Somos conscientes de un posible exploit en nuestro protocolo.
Hemos pausado los contratos y estamos investigando la causa raíz con expertos en seguridad mientras hablamos. Seguirá más información a medida que esté disponible.— Arcadia Finanzas (@ArcadiaFi) 10 de julio de 2023
Para complicar aún más el problema, PeckShield identificado otra vulnerabilidad en el código de Arcadia “debido a la falta de validación de entrada no confiable”. La falta de protección de reentrada, que protege contra múltiples entradas simultáneas en el protocolo, podría abrir la puerta para que los piratas informáticos esquivar la comprobación de estado de la bóveda interna del protocolo:
“Además, hay una falta de protección de reingreso, lo que permite que la liquidación instantánea pase por alto el control interno de la bóveda”.
Los hallazgos de PeckShield sugieren que la mayor parte de los fondos robados procedían de la bóveda de Optimism, aproximadamente 180 Ether, que supuestamente se movieron a través de Tornado Cash, un servicio de mezcla de Ethereum centrado en la privacidad. Sin embargo, el ETH, con un valor superior a $103,000 al momento del informe, permanece estático en la billetera del presunto pirata informático.
Arcadia notificado su comunidad en Twitter que está en contacto con el hacker, buscando utilizar su comunidad y opciones de seguridad para una resolución rápida.
Para Arcadia Finance, el camino hacia la recuperación probablemente implicará un análisis exhaustivo de sus sistemas de seguridad actuales y la implementación de medidas más estrictas para evitar dichas infracciones en el futuro:
“Nuestra prioridad número uno es recuperar fondos para los usuarios del protocolo Arcadia”.