Arbitrum, решение для масштабирования Ethereum L2, недавно подверглось крупному эксплойту. В результате злоумышленник вывел в общей сложности $395 000 из Arbitrum, атаковав смарт-контракт Futureswap. Согласно данным BlockSec Phalcon, эксплойтер осуществил серию различных операций, включая переводы $USDC и флэш-кредиты. Данный инцидент вызвал опасения пользователей по поводу возможных дальнейших потерь.
Эксплойт на Arbitrum Futureswap украл $395K в $USDC через флэш-кредиты
Согласно данным on-chain, в результате эксплойта, нацеленого на смарт-контракт Futureswap в сети Arbitrum, было выведено в общей сложности $395 000. Инцидент включал сложную цепочку операций, таких как транзакции $USDC и флэш-кредиты. Кроме того, эксплойт, по-видимому, использовал различные вызовы “changePosition”, что в итоге позволило злоумышленнику вывести значительную сумму $USDC.
Трассировка перевода началась с вызова злоумышленником “flashLoanSimple”, в рамках которого было запрошено 500 млрд $USDC у пула V3 платформы Aave. Это запустило цепочку различных delegate-вызовов через “FlashLoanLogic” и “L2PoolInstance”. Соответственно, средства были переведены на контракт эксплойтера. Затем злоумышленник выполнил вызов “executeOperation”, получив кредит в $USDC, а также премию почти в 250 млн единиц. Сообщается, что эксплойт возник из-за неожиданных изменений в учете “stableBalance”, произошедших при обновлениях предыдущих позиций.
Инцидент подчеркивает необходимость надежных мер защиты и прозрачности в DeFi
По данным BlockSec Phalcon, выявленная уязвимость могла позволить злоумышленнику обойти ограничения по обеспечению и вывести $USDC при закрытии позиций. В настоящее время команда Futureswap ожидается с публичным заявлением по поводу инцидента. Случившееся подчеркивает важность строгой защиты учета и прозрачной контрактной инфраструктуры на платформах DeFi. В целом, расследование продолжается, чтобы определить возможные пути решения проблемы.
