Arcadia Finance sotto attacco! L’hacker ha rubato $455.000
Il settore della DeFi è stato nuovamente scosso da un incidente di hacking: Arcadia Finance è stata l’ultima vittima di una lista crescente di protocolli compromessi.
In un attacco audace, gli hacker hanno sfruttato una vulnerabilità del codice, riuscendo a sottrarre circa 455.000 dollari dai caveau di Ethereum e Optimism del protocollo.
L’esperto di blockchain PeckShield ha subito lanciato l’allarme sull’exploit di Arcadia con un tweet del 9 luglio, in cui spiegava la causa dell’hack.
#PeckShieldAlert Our community contributor has detected that @ArcadiaFi has been exploited on both #Ethereum and #Optimism for ~$455K
The exploiter on #Ethereum was frontrun by 0x5C75e94dD0Ab9c10BFd1B8073DafEF031D3c050dhttps://t.co/blGx5IEAkk
The exploiter on #optimism… pic.twitter.com/WDzF0XVcmL
— PeckShieldAlert (@PeckShieldAlert) July 10, 2023
L’hacker sfrutta una vulnerabilità del codice
Nel tweet viene riferito che gli hacker hanno sfruttato “la mancanza di convalida degli input non attendibili” per effettuare la transazione. PeckShield ha rilevato che il codice dei contratti di Arcadia Finance mancava di un meccanismo di convalida per il controllo incrociato degli input non verificati.
La falla ha permesso all’hacker di prelevare circa 445.000 dollari in crypto dai caveau Ethereum (darcWETH) e Optimism (darcUSDC) del protocollo.
Mentre Arcadia Finance ha confermato l’intrusione dell’hacker, il protocollo ha rilasciato la sua dichiarazione solo due ore dopo il tweet di PeckShield. Il protocollo ha sottolineato di aver bloccato tutti i contratti per evitare un ulteriore drenaggio di fondi.
Inoltre il team ha subito assicurato gli utenti spiegando che sta lavorando con gli esperti di sicurezza per indagare sulla causa dell’hack e ha promesso di condividere ulteriori informazioni non appena saranno disponibili.
Scoperte ulteriori vulnerabilità
E mentre proseguono le indagini riguardo alla causa dell’attacco hacker, PeckShield ha svelato un’altra sorprendente rivelazione. La società di sicurezza blockchain ha rivelato di aver trovato un’ulteriore vulnerabilità nel codice di Arcadia, che gli hacker potrebbero sfruttare per sottrarre altri fondi.
PeckShield ha affermato:
“Inoltre, manca la protezione dalla reentrancy, che consente alla liquidazione istantanea di aggirare il controllo interno del caveau”.
La maggior parte dei fondi rubati, circa 180 ETH, proveniva dal caveau di Optimism. E stando a quanto riferito da PeckShield, gli hacker avrebbero già riciclato i fondi utilizzando Tornado Cash.
Invece, i fondi rubati in Ethereum, del valore di oltre 103.000 dollari, sono ancora nell’indirizzo del wallet sospetto e sembra che l’hacker non li abbia ancora spostati.
La DeFi lotta contro gli attacchi hacker
Lo sfruttamento dei protocolli DeFi attraverso l’hacking è diventato un problema sempre più pressante. Solo nel secondo trimestre del 2023, il settore DeFi ha perso oltre 300 milioni di dollari in asset crypto a causa di attacchi hacker.
Secondo il rapporto trimestrale della società di sicurezza blockchain CertiK, i protocolli Web3 hanno subito 212 violazioni della sicurezza nel secondo trimestre, con una perdita totale di 313.566.528 dollari.
CertiK, però, ha scoperto che gli hack in crypto sono diminuiti del 58% rispetto ai 745 milioni di dollari registrati nel secondo trimestre del 2022.
Tra gli incidenti di hacking, Binance Smart Chain (BNB) è quella che ha sofferto di più, con 119 violazioni segnalate e perdite per un totale di 70.711.385 dollari.
Ethereum, invece, ha subito 55 episodi di hacking, con perdite pari a 65.999.953 dollari.
Inoltre le perdite dovute alla manipolazione di Oracle e dei flash loan (prestiti istantanei) sono diminuite drasticamente nel secondo trimestre del 2023 rispetto al primo trimestre.
Nel primo trimestre del 2023 si sono verificati 52 attacchi di manipolazione Oracle, con perdite per 222 milioni di dollari. In particolare, l’attacco di Euler Finance ha rappresentato l’85% delle perdite totali di quel periodo.
Leggi anche:
- Hacker crypto coprono le tracce con una strategia sofisticata
- Multichain interrompe i servizi dopo un hacking da 126 milioni di dollari
Segui Cryptonews Italia sui canali social
