تم استغلال منصة التداول اللامركزية ذات الرافعة المالية Futureswap للمرة الثانية خلال أربعة أيام، حيث قام القراصنة بسرقة ما يقدر بـ 74,000 دولار هذه المرة.
كشفت شركة أمن البلوكشين BlockSec Phalcon عن الهجوم الثاني عبر منصة X، موضحة أن المهاجمين استغلوا ثغرة جديدة في نفس العقد الذي استهدفوه قبل أيام قليلة فقط. وأشارت الشركة الأمنية إلى أنه "على الرغم من أن الخسارة ليست كبيرة، إلا أن الجزء المثير للاهتمام هو ظهور سطح هجوم جديد: ثغرة إعادة الدخول".
استخدم المهاجم عملية من خطوتين تضمنت فترة التهدئة الإلزامية لمدة ثلاثة أيام في Futureswap لتصريف الأموال بشكل منهجي.
وفقاً لـ Phalcon، منصة كشف التهديدات التابعة لـ BlockSec، أعاد المهاجم الدخول أولاً إلى وظيفة 0x5308fcb1 قبل أن يقوم العقد بتحديث محاسبته الداخلية. بعد ذلك "قام المهاجم بسك كمية مفرطة من رموز LP مقارنةً بالأصول التي تم إيداعها فعلياً."
وبعد انتظار انتهاء فترة التهدئة للسحب، قام المهاجم بحرق الرموز المصكوكة بشكل غير قانوني لاسترداد الضمان الأساسي، مما أدى فعلياً إلى سحب الأصول من البروتوكول مع تحقيق أرباح.
Futureswap تعرضت للاختراق للمرة الثالثة خلال شهر واحد
يأتي الهجوم الأخير بعد أيام قليلة من فقدان المنصة أكثر من 395,000 دولار في استغلال ظهر على رادار Phalcon التابعة لـ BlockSec. حيث قام المهاجمون المشاركون في ذلك الاستغلال بسرقة الأموال من خلال عدة عمليات changePosition. ويبدو أن ذلك الحادث مرتبط بتغييرات غير متوقعة في محاسبة stableBalance أثناء تحديث المراكز، مما سمح لاحقاً بإطلاق USDC عند إزالة الضمان.
كما تعرضت Futureswap لهجوم حوكمة في ديسمبر 2025 حقق للمهاجمين ما لا يقل عن 830,000 دولار. في ذلك الحادث، استخدم القراصنة قرضاً سريعاً لاقتراض رموز الحوكمة مؤقتاً، مما منحهم قوة تصويت لتمرير اقتراح خبيث نقل الأموال من البروتوكول.
حتى الآن، خسرت Futureswap أكثر من مليون دولار بشكل تراكمي عبر ثلاث هجمات منفصلة استغلت ثغرات مختلفة في المنصة.
بروتوكولات DeFi القديمة تحت الحصار
تشكل حوادث Futureswap جزءاً من أكثر من 27 مليون دولار فقدت لصالح القراصنة الذين يواصلون استهداف منصات DeFi القديمة حتى عام 2026.
تعرضت بروتوكولات أخرى تعتمد على Arbitrum لمصير مماثل في الأسابيع الأخيرة. في أوائل يناير، خسرت USDGambit وTLP مبلغ 1.5 مليون دولار عندما حصل المهاجمون على صلاحيات الإدارة ونشروا عقوداً ذكية خبيثة. كما تعرضت TMX Tribe لاستغلال بقيمة 1.4 مليون دولار، في حين فقد صندوق IPOR Fusion USDC مبلغ 336,000 دولار بسبب ثغرة في عقد قديم، إلا أنه تعهد بتعويض جميع المستخدمين المتضررين بالكامل.
على الرغم من الاختراقات الأمنية التي أصابت البروتوكولات المبنية على Arbitrum، لا تزال سلسلة البلوكشين من الطبقة الثانية تحتفظ بأكثر من 3.1 مليار دولار من القيمة الإجمالية المقفلة في DeFi، وهو ما قد يعتبره بعض المحللين جزءاً مما يجعلها هدفاً جذاباً للمهاجمين.
وقد بقيت الشبكة بالقرب من أعلى ترتيب بين حلول Ethereum Layer-2 من حيث القيمة الإجمالية المقفلة منذ إطلاقها في عام 2021.
ما الذي يحدث في معسكر Futureswap؟
لم يصدر أي أحد من فريق Futureswap بياناً بخصوص هذه الاستغلالات. ويعود آخر منشور على حساب المنصة في X إلى عام 2023، ويقال إن البروتوكول تم تدقيقه آخر مرة في عام 2021.
تثير هذه الحالة أسئلة صعبة حول المسؤولية عندما يتم التخلي عن البروتوكولات ولكنها تواصل الاحتفاظ بأموال المستخدمين. ينصح خبراء الأمن بأن تقوم الفرق إما بإيقاف العقود القديمة بشكل صحيح وإغلاقها، أو إجراء تدقيقات أمنية جديدة والتحقق من شفرة المصدر.
وفي الوقت نفسه، يُنصح المستخدمون بسحب أصولهم من العقود القديمة التي تظهر عليها علامات التخلي.
أذكى العقول في مجال العملات الرقمية يقرؤون نشرتنا الإخبارية بالفعل. هل ترغب في الانضمام إليهم؟ اشترك الآن.
