A Arcadia Finance, uma plataforma de finanças descentralizadas (DeFi), foi a mais nova vítima de hackers. No total, as perdas chegam a R$ 2,2 milhões em criptomoedas. Os serviços foram pausados pela equipe.
Segundo a empresa de segurança PeckShield, os atacantes exploraram uma falha no protocolo que permitia a alteração de dados no contrato inteligente.
“Nossa análise mostra que o hack da Arcadia Finance aconteceu devido à falta de validação de entrada não-confiável, explorada para drenar fundos dos cofres darcWETH e darcUSDC”, apontou a PeckShield. “Além disso, há uma falta de proteção de reentrada, o que permite que a liquidação instantânea ignore a verificação de integridade interna do cofre.”
Arcadia Finance promete R$ 220.000 e ‘passe livre’ para hacker, mas há uma condição
Segundo análises on-chain, o hacker já teria movido parte dos fundos roubados para o Tornado Cash, um serviço que dificulta o rastreio das criptomoedas ao criar um emaranhado de transações. Ou seja, tudo indica que sua intenção é ficar com o dinheiro.
Sabendo disso, a equipe da Arcadia Finance não perdeu tempo e iniciou o contato com o hacker para recuperar parte das criptomoedas roubadas.
“Iniciamos contato com o atacante”, informou a Arcadia nas redes sociais. “Continuaremos trabalhando com nossos parceiros de segurança, autoridades policiais e a comunidade em geral para resolver isso da melhor maneira possível.”
“Nossa prioridade número um é recuperar os fundos dos usuários do protocolo Arcadia.”
We have initiated contact with the attacker. https://t.co/dh74gG90n6 https://t.co/O39Slsc1z5
We will continue to work with our security partners, law enforcement, and the broader community to resolve this as best we can. Our number one priority is recovering funds for Arcadia…
— Arcadia Finance (@ArcadiaFi) July 10, 2023
A mensagem enviada ao hacker pode ser encontrada em exploradores de blocos. Em suma, a Arcadia promete uma recompensa de 10%, sem acusações, caso o atacante devolva as criptomoedas roubadas.
“Entendemos que você está envolvido com o exploit da Arcadia Finance. Estamos trabalhando ativamente com especialistas em segurança e autoridades”, inicia o contato.
“Seus depósitos e saques no TC [Tornado Cash] em BNB foram um pouco rápidos demais, é difícil esconder sua identidade online hoje em dia”, continua a mensagem. “Encaminharemos isso para as autoridades caso não devolva os fundos nas próximas 24 horas.”
“Como alternativa, você pode devolver 90% dos fundos para 0xbA32A3D407353FC3adAA6f7eC6264Df5bCA51c4b e seguir a vida.”
Em outras palavras, a Arcadia parece ter pistas sobre a identidade do hacker. Já a recompensa pela devolução dos fundos é uma prática comum no setor, incentivando melhorias na segurança.
Até o fechamento desta matéria, não há indícios de que o hacker tenha contactado a Arcadia. O projeto afirma que segue trabalhando com especialistas em segurança e que seus contratos inteligentes foram pausados até o problema ser resolvido.
