Puntos Clave de la Noticia
- Se inyectó un contrato malicioso en el módulo Rebalancer de Arcadia Finance, drenando aproximadamente 2,5 millones de dólares en USDC y USDS en segundos al secuestrar las operaciones de intercambio.
- El atacante aprovechó una falla en los parámetros «swapData» de Arcadia para forzar intercambios de tokens fraudulentos, luego convirtió los fondos robados a WETH en Base y los conectó a Ethereum.
- La firma de seguridad Cyvers rastreó la brecha, recomendó incluir en la lista negra las direcciones implicadas y Arcadia instó a los usuarios a revocar los permisos mientras trabajan con expertos forenses para recuperar los fondos.
Arcadia Finance, un protocolo descentralizado en la blockchain Base, sufrió un ataque devastador que drenó aproximadamente $2,5 millones en USDC y USDS de las bóvedas de los usuarios. El exploit se produjo cuando un explotador desconocido inyectó un contrato malicioso en el módulo Rebalancer de Arcadia a las 04:05:58 UTC.
En cuestión de segundos, las operaciones de intercambio destinadas a mantener el equilibrio de las tenencias de los usuarios fueron interceptadas, lo que desencadenó transferencias no autorizadas que vaciaron los fondos de liquidez de un solo golpe.
Análisis de la vulnerabilidad SwapData
El núcleo del exploit residía en una falla en la gestión de los parámetros «swapData» por parte de Arcadia. Este mecanismo indica al protocolo cómo ejecutar intercambios de tokens durante los eventos de reequilibrio. Al manipular estos parámetros, el atacante obligó al Rebalancer a ejecutar intercambios fraudulentos, canalizando las stablecoins de las bóvedas de los usuarios directamente a la dirección del hacker.
Una vez que los fondos estaban bajo su control, los activos se convertían a Wrapped Ethereum (WETH) en Base y se conectaban a la mainnet de Ethereum para ocultar el rastro del dinero.
Respuesta rápida de Arcadia y Cyvers
La firma de seguridad blockchain Cyvers fue la primera en rastrear públicamente el exploit hasta el abuso de swapData. En su alerta, Cyvers instó a la inclusión inmediata en la lista negra de las direcciones implicadas, tanto en Base como en Ethereum, y recomendó notificar a los principales exchanges centralizados y servicios de puenteo para que congelaran las transferencias entrantes.
El equipo de Arcadia confirmó rápidamente la brecha mediante una publicación en X, instruyendo a todos los usuarios a revocar cualquier permiso otorgado a los administradores de activos. Se comprometieron a proporcionar más actualizaciones mientras trabajan junto con especialistas forenses para recuperar los fondos robados.
The team is aware of unauthorized transactions via a Rebalancer.
Remove all permissions for asset managers.
More information will follow.— Arcadia Finance (@ArcadiaFi) July 15, 2025
Lecciones para el ecosistema DeFi
Este incidente pone de relieve la fragilidad de la lógica de intercambio personalizada en las operaciones automatizadas del mercado. Las vulnerabilidades de SwapData, si bien son eficaces para optimizar el reequilibrio, pueden crear epicentros de riesgo si no se auditan rigurosamente.
A medida que DeFi madura, los proyectos deben priorizar las revisiones de seguridad modulares, las auditorías de terceros y las herramientas de monitorización en cadena para detectar patrones de intercambio anómalos en tiempo real. Para uno de los protocolos emergentes de Base, el camino hacia la recuperación ahora depende de una remediación transparente y de medidas de seguridad más estrictas contra exploits paramétricos.
