В июле 2025 года децентрализованная финансовая платформа Arcadia Finance, работающая на блокчейне Base, подверглась серьезной кибератаке, в результате которой было украдено около 2,5 миллиона долларов в криптовалюте. Данный инцидент сразу же привлёк внимание криптосообщества и экспертов по безопасности, поскольку стал очередным свидетельством растущих угроз для DeFi-протоколов и необходимости усиления мер защиты в быстро развивающейся отрасли децентрализованных финансов и блокчейн-технологий. Arcadia Finance — проект, который специализируется на управлении активами пользователей через смарт-контракты и сложные финансовые механизмы, такие как ре балансы портфелей и автоматизированные свапы. На платформе пользователи могут хранить токены, пользоваться услугами по оптимизации доходности и участвовать в управлении своими цифровыми активами с помощью так называемого Rebalancer-контракта, который автоматически осуществляет необходимые операции по перестановке токенов внутри портфелей. Суть произошедшего заключается в том, что злоумышленники выявили и использовали уязвимость именно в смарт-контракте Rebalancer.
По информации от компании по кибербезопасности Hacken, хакеры смогли изменить параметры swapData, которые не проходили должной валидации, что позволило им проводить несанкционированные операции по обмену токенов. Таким образом, мошенники получили возможность вывести средства из пользовательских хранилищ, испортив работу системы безопасности и обходя стандартные проверки. Похищенные активы состояли преимущественно из стейблкоина USDC в количестве 2,3 миллиона и 227 тысяч USDS. После успешной кражи эти токены были конвертированы в Wrapped Ethereum (WETH) и быстро перемещены через мосты на основную сеть Ethereum. Это затруднило отслеживание транзакций и усложнило попытки возврата средств.
Хронология атаки свидетельствует о высокой продуманности и технической подготовке хакеров. Вечером 14 июля 2025 года злоумышленники начали операцию с финансирования через анонимный миксер Tornado Cash на Ethereum, после чего осуществили перенос на Base. А уже ранним утром 15 июля был развёрнут вредоносный контракт, с помощью которого за считанные минуты произошло выведение миллионов долларов в криптоактивах. Кроме USDC и USDS были украдены и другие токены, такие как EURC, AERO и WELL. Общее количество затронутых адресов составило не менее двенадцати.
Суммарно хакеры получили около 199 WETH и почти миллиард AERO токенов в процессе обмена. Эти значительные объемы оказали заметное влияние на ликвидность ряда активов в экосистеме. Уязвимость в Rebalancer была связана с недостаточной проверкой ввода swapData, что позволило злоумышленникам манипулировать параметрами без каких-либо ограничений. Это серьёзно подрывает доверие к качеству разработки и аудиту кода платформы. К сожалению, Arcadia Finance уже сталкивалась с подобным инцидентом год назад в октябре 2023 года, когда была взломана на сумму около 455 тысяч долларов — тогда причиной была также слабая валидация входных данных и отсутствие защиты от повторяющихся вызовов (реентранси).
После события 2023 года специалисты, включая PeckShield, предупреждали о необходимости доработки кода и улучшения безопасности, но, как показала новая атака, эти рекомендации не были реализованы в полной мере. Ситуация подчёркивает, насколько важно для DeFi-проектов регулярно проводить тщательные аудиты, применять многослойную защиту и внедрять передовые механизмы мониторинга и предотвращения угроз. Блокчейн Base, разработанный с поддержкой Coinbase и считающийся перспективной платформой для масштабирования Ethereum, также оказался под ударом. Несмотря на запуск программы баг-баунти стоимостью 5 миллионов долларов и ускоренное внедрение институциональных партнерств с такими гигантами как JPMorgan и Shopify, сеть пока не способна защититься от таких продвинутых атак, что вызывает обеспокоенность относительно её дальнейшего развития и доверия пользователей. DeFi-сектор в целом переживает волну кибератак: по данным CertiK, в первой половине 2025 года из 344 зарегистрированных инцидентов было зафиксировано потерь на сумму более 2,47 миллиарда долларов.
Особую угрозу представляют взломы кошельков, отвечающие за большинство утрат, а также фишинговые атаки, направленные на кражу личных данных пользователей. Потеря крупной суммы в Arcadia Finance стала очередным звонком для всей отрасли и сигналом к ужесточению требований к безопасному написанию смарт-контрактов, стандартизации процедур аудита и более прозрачному взаимодействию с сообществом и инвесторами. Платформа оперативно отреагировала, опубликовав инструкцию для пользователей по снятию разрешений со всех управляющих активами, чтобы предотвратить дальнейшую утечку средств. Ведутся расследования для установления виновных и поиска путей возврата средств. В условиях постоянно растущей популярности и внедрения решений блокчейна Base важность создания защищённой и устойчивой экосистемы трудно переоценить.
Появление таких инцидентов подчеркивает необходимость институциональных стандартов безопасности и сотрудничества всех участников рынка для защиты пользователей и их капиталов. Подытоживая, можно сказать, что взлом Arcadia Finance — это яркий пример угроз, с которыми сталкиваются DeFi-проекты в 2025 году. Он демонстрирует, что даже перспективные платформы с поддержкой известных компаний остаются уязвимы перед талантливыми хакерами. Борьба за безопасность децентрализованных финансов требует постоянных усилий, инноваций и обмена опытом, чтобы обеспечить будущее, в котором технологии будут работать на благо пользователей, а не становиться источником их потерь.
