La plataforma descentralizada de trading con apalancamiento Futureswap ha sido explotada por segunda vez en cuatro días, y esta vez los hackers robaron aproximadamente $74.000.
La firma de seguridad blockchain BlockSec Phalcon divulgó el segundo ataque en X, revelando que los atacantes habían explotado una nueva vulnerabilidad en el mismo contrato que habían atacado días atrás. La firma de seguridad señaló que “aunque la pérdida no es grande, lo interesante es que apareció una nueva superficie de ataque: una vulnerabilidad de reentrancy”.
El atacante utilizó un proceso en dos pasos que involucró el período obligatorio de enfriamiento de tres días de Futureswap para drenar sistemáticamente los fondos.
Según Phalcon, la plataforma de detección de amenazas de BlockSec, el atacante primero volvió a ingresar en la función 0x5308fcb1 antes de que el contrato actualizara su contabilidad interna. Luego, el “atacante mintió una cantidad excesiva de tokens LP en relación con los activos realmente depositados”.
Después de esperar el período de enfriamiento para el retiro, el atacante quemó los tokens creados ilícitamente para canjear el colateral subyacente, sifoneando así los activos del protocolo junto con la ganancia.
Futureswap es hackeada por tercera vez en un mes
El último ataque ocurre pocos días después de que la plataforma perdiera más de $395.000 en una vulnerabilidad que apareció en el radar de Phalcon de BlockSec. Los atacantes que participaron en ese exploit robaron los fondos mediante múltiples operaciones de changePosition. Ese incidente parecía estar relacionado con cambios inesperados en la contabilidad de stableBalance durante las actualizaciones de posición que luego permitieron liberar USDC al retirar colateral.
Futureswap también sufrió un ataque de gobernanza en diciembre de 2025 que le permitió a los atacantes obtener al menos $830.000. En ese incidente, los hackers utilizaron un flash loan para pedir prestados temporalmente tokens de gobernanza, obteniendo poder de voto para aprobar una propuesta maliciosa que transfirió fondos del protocolo.
Hasta ahora, Futureswap ha perdido más de $1 millón de forma acumulada en tres ataques separados que han explotado diferentes vulnerabilidades en la plataforma.
Protocolos DeFi legacy bajo asedio
Los incidentes de Futureswap forman parte de los más de $27 millones perdidos a manos de hackers que continúan apuntando a plataformas DeFi legacy hasta 2026.
Otras plataformas basadas en Arbitrum han sufrido destinos similares en las últimas semanas. A principios de enero, USDGambit y TLP perdieron $1,5 millones cuando los atacantes obtuvieron acceso de administrador y desplegaron contratos inteligentes maliciosos. TMX Tribe sufrió una vulnerabilidad de $1,4 millones, mientras que el vault de IPOR Fusion USDC perdió $336.000 por una vulnerabilidad en un contrato legacy, aunque han prometido reembolsar completamente a los usuarios afectados.
A pesar de las brechas de seguridad que han afectado a protocolos basados en Arbitrum, la blockchain de capa 2 aún mantiene más de $3,1 mil millones en valor total bloqueado en DeFi, lo que, según algunos analistas, la convierte en un objetivo atractivo para los atacantes.
La red se ha mantenido cerca de la posición más alta entre las soluciones Layer-2 de Ethereum en términos de valor total bloqueado desde su lanzamiento en 2021.
¿Qué pasa en el equipo de Futureswap?
Nadie del equipo de Futureswap ha emitido una declaración sobre los exploits. La última publicación en la cuenta de X de la plataforma data de 2023, y se dice que el protocolo fue auditado por última vez en 2021.
El caso plantea preguntas difíciles sobre la responsabilidad cuando los protocolos son abandonados pero continúan manteniendo fondos de usuarios. Los expertos en seguridad recomiendan que los equipos desactiven y cierren adecuadamente los contratos legacy o realicen nuevas auditorías de seguridad y verifiquen el código fuente.
Mientras tanto, se aconseja a los usuarios retirar activos de contratos antiguos que muestren signos de abandono.
Las mentes más brillantes de las criptomonedas ya leen nuestro newsletter. ¿Querés sumarte? Unite a ellos.
