Zdecentralizowana platforma handlu z dźwignią Futureswap została wykorzystana po raz drugi w ciągu czterech dni, a hakerzy tym razem ukradli szacunkowo 74 000 dolarów.
Firma zajmująca się bezpieczeństwem blockchain, BlockSec Phalcon, ujawniła drugi atak na platformie X, informując, że napastnicy wykorzystali nową lukę w tym samym kontrakcie, na który celowali zaledwie kilka dni wcześniej. Firma bezpieczeństwa zauważyła, że „chociaż strata nie jest duża, interesujące jest to, że pojawiła się nowa powierzchnia ataku: luka typu reentrancy.”
Napastnik zastosował dwuetapowy proces, wykorzystując obowiązkowy trzydniowy okres oczekiwania Futureswap, aby systematycznie wypompowywać środki.
Zgodnie z informacjami Phalcon, platformy wykrywania zagrożeń firmy BlockSec, napastnik najpierw ponownie wszedł do funkcji 0x5308fcb1 przed zaktualizowaniem wewnętrznej księgowości kontraktu. Następnie „napastnik wyemitował nadmierną liczbę tokenów LP w stosunku do faktycznie zdeponowanych aktywów.”
Po odczekaniu wymaganego okresu oczekiwania na wypłatę, napastnik spalił nielegalnie wyemitowane tokeny, aby odebrać bazowe zabezpieczenie, skutecznie wysysając aktywa z protokołu wraz z zyskiem.
Futureswap został zhakowany po raz trzeci w ciągu jednego miesiąca
Ostatni atak miał miejsce kilka dni po tym, jak platforma straciła ponad 395 000 dolarów w wyniku exploita, który pojawił się na radarze BlockSec Phalcon. Napastnicy, którzy brali udział w tamtym ataku, ukradli środki za pomocą wielu operacji changePosition. Incydent ten wydawał się związany z nieoczekiwanymi zmianami w księgowości stableBalance podczas aktualizacji pozycji, co później umożliwiło uwolnienie USDC przy usuwaniu zabezpieczenia.
Futureswap padł także ofiarą ataku na zarządzanie w grudniu 2025 roku, w wyniku którego napastnicy zyskali co najmniej 830 000 dolarów. W tym przypadku hakerzy użyli flash loan, aby tymczasowo pożyczyć tokeny zarządzania, zdobywając siłę głosu potrzebną do przeforsowania złośliwej propozycji, która przeniosła środki z protokołu.
Futureswap stracił dotąd łącznie ponad 1 milion dolarów w trzech oddzielnych atakach, które wykorzystały różne luki na platformie.
Stare protokoły DeFi pod ostrzałem
Incydenty z Futureswap są częścią ponad 27 milionów dolarów utraconych przez hakerów, którzy wciąż atakują starsze platformy DeFi w 2026 roku.
Inne protokoły oparte na Arbitrum doświadczyły podobnych losów w ostatnich tygodniach. Na początku stycznia USDGambit i TLP straciły 1,5 miliona dolarów, gdy napastnicy uzyskali dostęp administracyjny i wdrożyli złośliwe smart kontrakty. TMX Tribe straciło 1,4 miliona dolarów w wyniku exploita, podczas gdy IPOR Fusion USDC vault stracił 336 000 dolarów przez lukę w starszym kontrakcie, jednak zobowiązał się do pełnego zwrotu środków poszkodowanym użytkownikom.
Pomimo naruszeń bezpieczeństwa, które dotknęły protokoły oparte na Arbitrum, blockchain warstwy drugiej wciąż posiada ponad 3,1 miliarda dolarów całkowitej wartości zablokowanej w DeFi, co według niektórych analityków czyni go atrakcyjnym celem dla atakujących.
Sieć utrzymuje się na czołowej pozycji wśród rozwiązań warstwy drugiej Ethereum pod względem całkowitej wartości zablokowanej od czasu swojego uruchomienia w 2021 roku.
Co się dzieje w obozie Futureswap?
Żaden członek zespołu Futureswap nie wydał oświadczenia w sprawie exploitów. Ostatni post na koncie platformy na X pochodzi z 2023 roku, a protokół był ostatnio audytowany w 2021 roku.
Sprawa rodzi trudne pytania dotyczące odpowiedzialności, gdy protokoły są porzucone, ale nadal przechowują środki użytkowników. Eksperci ds. bezpieczeństwa zalecają, aby zespoły albo prawidłowo wycofywały i zamykały stare kontrakty, albo przeprowadzały nowe audyty bezpieczeństwa i weryfikowały kod źródłowy.
Użytkownikom zaleca się tymczasem wycofanie aktywów ze starszych kontraktów wykazujących oznaki porzucenia.
Najbystrzejsze umysły kryptowalutowe już czytają nasz newsletter. Chcesz do nich dołączyć? Zapisz się.
