Arbitrum, рішення масштабування Ethereum L2, нещодавно стало жертвою значного експлойту. Зловмисник вивів усього $395K з Arbitrum, націлившись на смарт-контракт Futureswap. За даними BlockSec Phalcon, зловмисник виконав низку різноманітних операцій, включаючи трансфери $USDC та флеш-кредити. Відповідно, даний експлойт викликав побоювання серед користувачів щодо можливих подальших втрат.
Експлойт Arbitrum Futureswap викрав $395K у $USDC через флеш-кредити
Згідно з ончейн-даними, сукупно $395 000 було виведено з Arbitrum в результаті експлойту, спрямованого на смарт-контракт Futureswap. Зокрема, інцидент включав складну серію різноманітних операцій, таких як транзакції $USDC та флеш-кредити. Крім того, експлойт, схоже, використовував різні виклики “changePosition”, що зрештою дозволило зловмиснику вивести значну суму $USDC.
Ланцюжок трансферу почався з виклику “flashLoanSimple” зловмисника, який запросив 500B одиниць $USDC у Pool V3 платформи Aave. Це спровокувало низку різних delegate calls через “FlashLoanLogic” та “L2PoolInstance”. У результаті кошти були переведені на контракт зловмисника. Після цього атакуючий виконав виклик “executeOperation”, отримавши кредит $USDC, окрім премії майже у 250M одиниць. Згідно з повідомленнями, експлойт виник через неочікувані зміни в обліку “stableBalance”, які відбулися під час попередніх оновлень позицій.
Інцидент підкреслює необхідність надійного захисту та прозорості в DeFi
За інформацією BlockSec Phalcon, відповідна вразливість могла дозволити зловмиснику обійти обмеження щодо колатералі та вивести $USDC під час закриття позицій. На даний момент команда Futureswap очікується із публічною заявою щодо інциденту. Цей випадок підкреслює важливість суворого обліку та прозорої інфраструктури контрактів на платформах DeFi. Загалом триває розслідування для напрацювання відповідних оновлень і можливих рішень.
