La plataforma de finanzas descentralizadas (DeFi) Arcadia Finance se ha convertido en una víctima más de un exploit, según informes recientes. La firma de seguridad blockchain PeckShield ha detectado transacciones fraudulentas en la red, lo que indica un posible hackeo en la plataforma.
El ataque se llevó a cabo a través de un exploit de reentrada en los contratos de Arcadia Finance. La reentrada es una vulnerabilidad que permite a un atacante interrumpir un proceso de varios pasos y volver a ejecutar una función antes de que se complete correctamente.
El atacante utilizó un préstamo relámpago de Aave por valor de 20.672 USDC y lo depositó en la bóveda de Arcadia. Luego, aprovechó la garantía de la bóveda para tomar prestados 103.210 USDC de un pool de liquidez de Arcadia. Posteriormente, retiró todos los fondos de la bóveda, dejándola sin activos y con una deuda de 103.210 USDC.
Aunque en teoría esto debería haber provocado que las transacciones se revirtieran debido a una comprobación de salud fallida, el atacante utilizó un contrato malicioso para llamar a la función «liquidateVault()» antes de que la comprobación de salud pudiera comenzar. Esto permitió que la bóveda fuera liquidada sin que se revirtieran las transacciones, lo que resultó en la pérdida de los fondos.
El exploit afectó tanto a Ethereum como a la red L2 Optimism, y se estima que se han perdido alrededor de 455.000 dólares. Según PeckShield, el hacker ha transferido aproximadamente 179 Ethereum y ha intercambiado 59.000 USDC a través de Tornado Cash.
Arcadia Finance ha puesto en pausa los contratos y está trabajando en un parche para cerrar la vulnerabilidad y evitar futuros incidentes similares. El equipo ha contactado al atacante y está cooperando con expertos en seguridad, fuerzas del orden y la comunidad en general para abordar la situación y recuperar los fondos para los usuarios del protocolo.
El análisis del hackeo realizado por PeckShield revela que las pérdidas fueron causadas por una falta de validación de entrada no confiable, que permitió al hacker drenar fondos de los vaults darcWETH y darcUSDC. Además, se identificó una falta de protección de reingreso, lo que permitió que la liquidación instantánea evadiera la verificación del estado del vault interno.
Hasta el momento, Arcadia Finance no ha emitido ninguna alerta ni proporcionado más detalles sobre el incidente. Se espera que la plataforma se pronuncie pronto y brinde información adicional sobre el hackeo.
Sobre Arcafia Finance
Arcadia Finance es un protocolo sin custodia que permite cuentas componibles de margen cross-chain. La plataforma ha experimentado una caída significativa en su TVL (Total Value Locked) en las últimas horas, pasando de 605,000 dólares a 145,000 dólares, según DeFiLlama.
Siempre alerta
Este último incidente resalta los desafíos de seguridad continuos a los que se enfrenta la industria de las criptomonedas y el espacio DeFi en particular. Los hackers están constantemente buscando vulnerabilidades en los protocolos y plataformas para obtener ganancias ilícitas. Es fundamental que los proyectos DeFi mejoren y fortalezcan sus medidas de seguridad para proteger los fondos de los usuarios y evitar este tipo de hackeos en el futuro.
La seguridad sigue siendo una preocupación fundamental para el crecimiento y la adopción masiva de las finanzas descentralizadas. Los usuarios y las plataformas deben ser diligentes en la protección de sus activos y trabajar en estrecha colaboración con expertos en seguridad para mitigar los riesgos y fortalecer la infraestructura de la industria DeFi.
