A Arcadia Finance, uma plataforma de finanças descentralizadas (DeFi), foi a mais nova vítima de hackers. No total, as perdas chegam a R$ 2,2 milhões em criptomoedas. Os serviços foram pausados pela equipe.
Segundo a empresa de segurança PeckShield, os atacantes exploraram uma falha no protocolo que permitia a alteração de dados no contrato inteligente.
“Nossa análise mostra que o hack da Arcadia Finance aconteceu devido à falta de validação de entrada não-confiável, explorada para drenar fundos dos cofres darcWETH e darcUSDC”, apontou a PeckShield. “Além disso, há uma falta de proteção de reentrada, o que permite que a liquidação instantânea ignore a verificação de integridade interna do cofre.”
Segundo análises on-chain, o hacker já teria movido parte dos fundos roubados para o Tornado Cash, um serviço que dificulta o rastreio das criptomoedas ao criar um emaranhado de transações. Ou seja, tudo indica que sua intenção é ficar com o dinheiro.
Sabendo disso, a equipe da Arcadia Finance não perdeu tempo e iniciou o contato com o hacker para recuperar parte das criptomoedas roubadas.
“Iniciamos contato com o atacante”, informou a Arcadia nas redes sociais. “Continuaremos trabalhando com nossos parceiros de segurança, autoridades policiais e a comunidade em geral para resolver isso da melhor maneira possível.”
“Nossa prioridade número um é recuperar os fundos dos usuários do protocolo Arcadia.”
A mensagem enviada ao hacker pode ser encontrada em exploradores de blocos. Em suma, a Arcadia promete uma recompensa de 10%, sem acusações, caso o atacante devolva as criptomoedas roubadas.
“Entendemos que você está envolvido com o exploit da Arcadia Finance. Estamos trabalhando ativamente com especialistas em segurança e autoridades”, inicia o contato.
“Seus depósitos e saques no TC [Tornado Cash] em BNB foram um pouco rápidos demais, é difícil esconder sua identidade online hoje em dia”, continua a mensagem. “Encaminharemos isso para as autoridades caso não devolva os fundos nas próximas 24 horas.”
“Como alternativa, você pode devolver 90% dos fundos para 0xbA32A3D407353FC3adAA6f7eC6264Df5bCA51c4b e seguir a vida.”
Em outras palavras, a Arcadia parece ter pistas sobre a identidade do hacker. Já a recompensa pela devolução dos fundos é uma prática comum no setor, incentivando melhorias na segurança.
Até o fechamento desta matéria, não há indícios de que o hacker tenha contactado a Arcadia. O projeto afirma que segue trabalhando com especialistas em segurança e que seus contratos inteligentes foram pausados até o problema ser resolvido.
Comentários