Die dezentrale Leverage-Trading-Plattform Futureswap wurde innerhalb von vier Tagen zum zweiten Mal ausgenutzt, wobei die Hacker dieses Mal schätzungsweise 74.000 US-Dollar gestohlen haben.
Das Blockchain-Sicherheitsunternehmen BlockSec Phalcon enthüllte den zweiten Angriff auf X und gab bekannt, dass Angreifer eine neue Schwachstelle in demselben Vertrag ausgenutzt hatten, den sie nur wenige Tage zuvor ins Visier genommen hatten. Das Sicherheitsunternehmen stellte fest, dass „obwohl der Verlust nicht groß ist, der interessante Teil darin besteht, dass eine neue Angriffsfläche entstanden ist: eine Reentrancy-Schwachstelle.“
Der Angreifer verwendete einen zweistufigen Prozess, bei dem er die obligatorische dreitägige Abkühlungsphase von Futureswap nutzte, um Gelder systematisch abzuziehen.
Laut Phalcon, der Threat-Detection-Plattform von BlockSec, hat der Angreifer zunächst erneut die Funktion 0x5308fcb1 aufgerufen, bevor der Vertrag seine interne Buchhaltung aktualisiert hatte. Dann hat der „Angreifer eine übermäßige Menge an LP-Token im Verhältnis zu den tatsächlich eingezahlten Vermögenswerten geprägt.“
Nachdem die Abkühlungsphase für Auszahlungen abgelaufen war, verbrannte der Angreifer die illegal geprägten Token, um das zugrundeliegende Sicherheitenvermögen einzulösen, und leitete so effektiv Vermögenswerte zusammen mit dem Gewinn aus dem Protokoll ab.
Futureswap wurde zum dritten Mal innerhalb eines Monats gehackt
Der jüngste Angriff erfolgte nur wenige Tage, nachdem die Plattform durch einen Exploit, der auf BlockSec Phalcons Radar auftauchte, über 395.000 US-Dollar verloren hatte. Die Angreifer, die an diesem Exploit beteiligt waren, stahlen die Gelder durch mehrere changePosition-Operationen. Dieser Vorfall schien im Zusammenhang mit unerwarteten Änderungen in der stableBalance-Buchhaltung während Positionsaktualisierungen zu stehen, die später die Freigabe von USDC beim Entfernen von Sicherheiten ermöglichten.
Futureswap erlitt zudem im Dezember 2025 einen Governance-Angriff, bei dem die Angreifer mindestens 830.000 US-Dollar erbeuteten. In diesem Fall nutzten Hacker einen Flash Loan, um vorübergehend Governance-Token zu leihen, verschafften sich dadurch Stimmrechte und konnten so einen böswilligen Vorschlag durchsetzen, der Gelder vom Protokoll transferierte.
Futureswap hat bislang insgesamt über 1 Million US-Dollar durch drei separate Angriffe verloren, bei denen unterschiedliche Schwachstellen auf der Plattform ausgenutzt wurden.
Legacy-DeFi-Protokolle unter Beschuss
Die Vorfälle bei Futureswap sind Teil der über 27 Millionen US-Dollar, die Hacker weiterhin durch Angriffe auf ältere DeFi-Plattformen bis ins Jahr 2026 hinein erbeutet haben.
Auch andere auf Arbitrum basierende Protokolle erlitten in den letzten Wochen ähnliche Schicksale. Anfang Januar verloren USDGambit und TLP 1,5 Millionen US-Dollar, nachdem Angreifer Admin-Zugriff erlangten und bösartige Smart Contracts einsetzten. TMX Tribe erlitt einen Exploit in Höhe von 1,4 Millionen US-Dollar, während der IPOR Fusion USDC Vault durch eine Schwachstelle in einem Legacy-Vertrag 336.000 US-Dollar verlor, jedoch zugesagt hat, die betroffenen Nutzer vollständig zu entschädigen.
Trotz der Sicherheitsverletzungen bei Protokollen auf Arbitrum hält die Layer-2-Blockchain weiterhin über 3,1 Milliarden US-Dollar an Total Value Locked (TVL) in DeFi, was laut einigen Analysten ein Grund für ihre Attraktivität für Angreifer sein könnte.
Das Netzwerk hält seit dem Launch 2021 eine Spitzenposition unter den Ethereum-Layer-2-Lösungen in Bezug auf den Total Value Locked.
Was passiert im Futureswap-Lager?
Niemand aus dem Futureswap-Team hat eine Stellungnahme zu den Angriffen abgegeben. Der letzte Beitrag auf dem X-Account der Plattform stammt aus dem Jahr 2023, und das Protokoll wurde zuletzt 2021 auditiert.
Der Fall wirft schwierige Fragen zur Verantwortung auf, wenn Protokolle aufgegeben werden, aber weiterhin Nutzergelder halten. Sicherheitsexperten empfehlen, dass Teams entweder alte Verträge ordnungsgemäß außer Betrieb nehmen und stilllegen oder neue Sicherheitsprüfungen durchführen und den Quellcode verifizieren.
Nutzern wird unterdessen geraten, Vermögenswerte aus älteren Verträgen abzuziehen, die Anzeichen von Vernachlässigung zeigen.
Die klügsten Krypto-Köpfe lesen bereits unseren Newsletter. Möchten Sie dazugehören? Schließen Sie sich ihnen an.
