Platform perdagangan leverage terdesentralisasi Futureswap telah dieksploitasi untuk kedua kalinya dalam empat hari, dengan para peretas mencuri sekitar $74.000 kali ini.
Perusahaan keamanan blockchain BlockSec Phalcon mengungkapkan serangan kedua ini di X, mengungkapkan bahwa para penyerang telah mengeksploitasi kerentanan baru di kontrak yang sama yang mereka targetkan beberapa hari sebelumnya. Perusahaan keamanan tersebut mencatat bahwa “meskipun kerugiannya tidak besar, bagian yang menarik adalah munculnya permukaan serangan baru: kerentanan reentrancy.”
Penyerang menggunakan proses dua langkah yang melibatkan periode cooldown wajib tiga hari Futureswap untuk secara sistematis menguras dana.
Menurut Phalcon, platform deteksi ancaman BlockSec, penyerang pertama kali masuk kembali ke fungsi 0x5308fcb1 sebelum kontrak memperbarui pencatatan internalnya. Kemudian “penyerang mencetak jumlah token LP yang berlebihan dibandingkan dengan aset yang sebenarnya disetor.”
Setelah menunggu masa cooldown penarikan, penyerang membakar token yang dicetak secara ilegal untuk menebus jaminan dasar, sehingga secara efektif menyedot aset dari protokol beserta keuntungannya.
Futureswap diretas untuk ketiga kalinya dalam satu bulan
Serangan terbaru ini terjadi beberapa hari setelah platform tersebut kehilangan lebih dari $395.000 dalam eksploitasi yang terdeteksi oleh radar BlockSec Phalcon. Para penyerang dalam eksploitasi tersebut mencuri dana melalui beberapa operasi changePosition. Insiden itu tampaknya terkait dengan perubahan pencatatan stableBalance yang tidak terduga selama pembaruan posisi yang kemudian memungkinkan USDC dilepaskan saat menghapus jaminan.
Futureswap juga mengalami serangan tata kelola pada Desember 2025 yang menghasilkan setidaknya $830.000 bagi para penyerang. Dalam insiden itu, peretas menggunakan flash loan untuk sementara meminjam token tata kelola, memperoleh kekuatan suara untuk meloloskan proposal berbahaya yang mentransfer dana dari protokol.
Futureswap sejauh ini telah kehilangan lebih dari $1 juta secara kumulatif dalam tiga serangan terpisah yang memanfaatkan kerentanan berbeda di platform tersebut.
Protokol DeFi lawas dalam pengepungan
Insiden Futureswap merupakan bagian dari lebih dari $27 juta yang hilang akibat peretas yang terus menargetkan platform DeFi lawas hingga 2026.
Protokol berbasis Arbitrum lainnya juga mengalami nasib serupa dalam beberapa minggu terakhir. Pada awal Januari, USDGambit dan TLP kehilangan $1,5 juta ketika penyerang mendapatkan akses admin dan meluncurkan smart contract berbahaya. TMX Tribe mengalami eksploitasi senilai $1,4 juta, sementara IPOR Fusion USDC vault kehilangan $336.000 melalui kerentanan kontrak lawas, meskipun telah berjanji untuk sepenuhnya mengganti kerugian pengguna yang terdampak.
Terlepas dari pelanggaran keamanan yang menimpa protokol berbasis Arbitrum, blockchain layer-2 ini masih menampung lebih dari $3,1 miliar total nilai terkunci di DeFi, yang menurut beberapa analis merupakan salah satu alasan mengapa platform ini menjadi target menarik bagi para penyerang.
Jaringan ini tetap berada di posisi teratas di antara solusi Ethereum Layer-2 dalam hal total nilai terkunci sejak diluncurkan pada tahun 2021.
Apa yang terjadi di kubu Futureswap?
Tidak ada seorang pun dari tim Futureswap yang merilis pernyataan terkait eksploitasi ini. Posting terakhir di akun X platform tersebut tertanggal 2023, dan protokol tersebut terakhir diaudit pada 2021.
Kasus ini menimbulkan pertanyaan sulit tentang tanggung jawab ketika protokol ditinggalkan namun masih menyimpan dana pengguna. Pakar keamanan merekomendasikan agar tim melakukan penghentian dan penonaktifan kontrak lawas secara benar atau melakukan audit keamanan baru dan memverifikasi kode sumber.
Sementara itu, pengguna disarankan untuk menarik aset dari kontrak lama yang menunjukkan tanda-tanda telah ditinggalkan.
Para pakar crypto paling cerdas sudah membaca buletin kami. Ingin ikut? Bergabunglah dengan mereka.
