Tin tặc tấn công Futureswap dựa trên Arbitrum một lần nữa sau vụ khai thác trị giá 400 nghìn USD

Futureswap, nền tảng giao dịch đòn bẩy phi tập trung, đã bị khai thác lần thứ hai chỉ sau bốn ngày, kẻ tấn công lần này đã rút đi khoảng 74.000 USD. Công ty an ninh chuỗi khối BlockSec Phalcon cho biết vụ tấn công thứ hai trên X, tiết lộ rằng kẻ tấn công đã khai thác một lỗ hổng mới trong cùng hợp đồng mà họ đã nhắm tới vài ngày trước đó. Công ty an ninh cho biết 'mặc dù mức lỗ không lớn, phần thú vị là một bề mặt tấn công mới đã xuất hiện: lỗ hổng reentrancy.' Kẻ tấn công đã thực hiện quy trình hai bước liên quan đến chu kỳ làm mờ 3 ngày bắt buộc của Futureswap để rút vốn một cách có hệ thống. Theo Phalcon, nền tảng phát hiện mối đe dọa của BlockSec, kẻ tấn công đã nhập lại vào hàm 0x5308fcb1 trước khi hợp đồng cập nhật kế toán nội bộ. Sau đó 'kẻ tấn công đã mint một số lượng LP token vượt quá lượng tài sản thực tế được gửi vào.' Sau khi chờ đợi chu kỳ rút tiền, kẻ tấn công đã đốt các token minted bất hợp pháp để thu hồi tài sản thế chấp cơ sở, đồng thời rút ròng tài sản khỏi giao thức cùng với lợi nhuận. Futureswap bị hack lần thứ ba trong một tháng Vụ tấn công mới nhất đến vài ngày sau khi nền tảng mất hơn 395.000 USD trong một khai thác được radar của BlockSec Phalcon phát hiện. Những kẻ tấn công tham gia vụ khai thác đó đã rút tiền thông qua nhiều thao tác changePosition. Vụ việc này có vẻ liên quan đến những thay đổi kế toán cân đối ổn định (stableBalance) khi cập nhật vị thế dẫn đến việc USDC có thể được phát hành khi bỏ collateral. Các giao thức DeFi cổ điển đang chịu áp lực Các sự cố của Futureswap nằm trong tổng thiệt hại trên 27 triệu USD do các hacker gây ra và tiếp tục nhắm tới các nền tảng DeFi cổ điển cho đến năm 2026. Các giao thức dựa trên Arbitrum khác đã gặp phải số phận tương tự trong thời gian gần đây. Vào đầu tháng, USDGambit và TLP mất 1,5 triệu USD khi kẻ tấn công có được quyền quản trị và triển khai hợp đồng thông minh độc hại. TMX Tribe chịu tổn thất 1,4 triệu USD trong một khai thác, trong khi vault USDC IPOR Fusion của USDC bị lấy mất 336.000 USD thông qua một lỗ hổng hợp đồng cổ điển, mặc dù họ đã cam kết bồi hoàn đầy đủ cho người dùng bị ảnh hưởng. Bất chấp những vi phạm an ninh nhắm vào các giao thức dựa trên Arbitrum, chuỗi lớp-2 vẫn giữ hơn 3,1 tỷ USD tổng giá trị bị khóa trong DeFi, điều mà một số nhà phân tích cho rằng là một phần lý do làm cho nó trở thành mục tiêu hấp dẫn cho các kẻ tấn công. Mạng lưới vẫn đứng ở vị trí hàng đầu trong số các giải pháp Ethereum Layer-2 xét về tổng giá trị bị khóa kể từ khi chạy hệ thống vào năm 2021. Những gì đang diễn ra ở khu vực Futureswap? Chưa có ai từ đội Futureswap đưa ra tuyên bố về các vụ khai thác. Bài đăng cuối cùng trên tài khoản X của nền tảng đã từ năm 2023, và dự án được cho là lần cuối được kiểm toán vào năm 2021. Vụ việc nêu lên những câu hỏi khó về trách nhiệm khi các giao thức bị bỏ rơi nhưng vẫn nắm giữ tiền của người dùng. Các chuyên gia bảo mật khuyến nghị các đội ngũ nên ngừng vận hành và ngừng các hợp đồng cổ điển hoặc tiến hành kiểm toán bảo mật mới và xác minh mã nguồn. Trong khi đó, người dùng được khuyến nghị rút tài sản khỏi các hợp đồng cũ có dấu hiệu bị bỏ rơi. Những bộ não tiền mã hoá thông thái nhất đã đọc bản tin của chúng tôi. Bạn có muốn tham gia không? Hãy gia nhập cùng họ.