Un hacker ha sottratto circa 455.000 dollari dal protocollo decentralizzato non custodito di finanza (DeFi) Arcadia Finance, sfruttando una vulnerabilità del codice. L’investigatore di blockchain PeckShield ha segnalato l’attacco su Arcadia Finance, indicando come causa “la mancanza di validazione di input non fidati”.
Mancanza di validazione di input non fidati
Il codice di Arcadia Finance mancava di un meccanismo di validazione per controllare gli input non verificati. Questa lacuna ha permesso all’hacker di drenare fondi per un valore di circa 455.000 dollari dai vault di Ethereum (darcWETH) e Optimism (darcUSDC).
Risposta di Arcadia Finance
Arcadia Finance ha confermato l’attacco due ore dopo l’informazione di PeckShield e ha successivamente messo in pausa i contratti per prevenire ulteriori perdite di fondi. Mentre le indagini sono in corso, il codice di Arcadia presenta un’altra vulnerabilità, che potrebbe rivelarsi catastrofica per il protocollo se sfruttata.
Altra vulnerabilità nel codice
Secondo PeckShield, “Inoltre, manca una protezione contro la reentrancy, che permette alla liquidazione istantanea di bypassare il controllo di salute interno del vault”. La maggior parte dei fondi rubati, circa 180 Ether, provenivano da Optimism e sono stati “lavati” tramite Tornado Cash. Tuttavia, i token rubati su Ethereum, del valore di oltre 103.000 dollari al momento della scrittura, rimangono parcheggiati all’indirizzo del portafoglio sospetto.