Plataforma DeFi sofreu exploit grave em contrato de rebalanceamento; parte dos fundos foi lavada via Tornado Cash
A Arcadia Finance, protocolo de finanças descentralizadas (DeFi) na blockchain Base, foi alvo de um ataque cibernético que drenou ao menos US$ 3,5 milhões em criptomoedas.
O golpe, ocorrido nesta terça-feira (15), começou com um vazamento inicial de US$ 2,5 milhões e seguiu com novas retiradas minutos depois.
A equipe confirmou que o invasor explorou vulnerabilidades no contrato Rebalancer, usando brechas para manipular empréstimos e drenar liquidez.
⚠️ Fundos desviados e lavados em WETH
O atacante converteu os ativos USDC e USDS roubados para WETH e transferiu os valores para a rede Ethereum com a ajuda de uma ponte cross-chain. Em seguida, usou o mixer Tornado Cash, conhecido por dificultar o rastreamento de transações.
Os movimentos foram identificados por empresas de segurança blockchain, que alertaram a comunidade em tempo real.
Parte dos tokens continua circulando em carteiras ligadas ao invasor.
👀 Especialistas identificam falhas antigas no contrato da Arcadia
A investigação foi conduzida pelas empresas de segurança Cyvers, PeckShield e Hacken. Todas chegaram à mesma conclusão: o contrato Rebalancer tinha brechas já conhecidas em outros ataques DeFi — e nenhuma delas foi corrigida.
Segundo a Cyvers, o invasor manipulou dados de entrada em uma função chamada swapData. O código permitia que qualquer parâmetro fosse aceito sem filtro, o que abriu caminho para uma série de operações forjadas.
Já a Hacken apontou que o sistema não exigia validação da integridade dos vaults antes de liberar liquidez.
A PeckShield também chamou atenção para um problema clássico: a ausência de proteção contra reentrancy, falha que permite executar múltiplas ações antes que o sistema finalize o processamento da primeira.
Essa combinação já havia sido explorada em julho de 2023, em um ataque anterior à própria Arcadia. Na época, o prejuízo foi de US$ 455 mil — o suficiente para deixar qualquer time de segurança em alerta. Mas nada foi feito desde então.
🛑 Operações suspensas e medidas emergenciais
Logo após o ataque, a Arcadia suspendeu temporariamente suas operações de liquidez. A equipe também recomendou que usuários revoguem permissões vinculadas ao contrato Rebalancer para evitar mais perdas.
A Arcadia afirma estar colaborando com exchanges, parceiros de infraestrutura e autoridades para rastrear os responsáveis.
📌 Leia também:
Novo app da OpenSea une NFT, tokens e aplicações DeFi
Grayscale registra IPO confidencial e pode abrir capital nos EUA
Bitcoin dispara e altcoins começam a reagir: vem aí uma altseason?
Fique por dentro das notícias mais quentes do mercado cripto: entre no nosso canal no WhatsApp.
