Децентралізована платформа леверидж-трейдингу Futureswap була зламаною вдруге за чотири дні, при цьому цього разу хакери викрали близько $74 000.
Блокчейн-безпекова компанія BlockSec Phalcon повідомила про другу атаку у X, вказавши, що зловмисники скористалися новою вразливістю в тому ж контракті, який вони атакували кілька днів тому. У компанії зазначили: «Хоча втрати невеликі, цікаво, що з’явилася нова поверхня атаки: вразливість повторного входу (reentrancy)».
Зловмисник використав двоетапний процес, задіявши обов’язковий триденний період охолодження (cooldown) Futureswap для систематичного виведення коштів.
За даними Phalcon, платформи виявлення загроз від BlockSec, спочатку зловмисник повторно звернувся до функції 0x5308fcb1 до того, як контракт оновив свою внутрішню бухгалтерію. Далі «атакуючий створив надмірну кількість LP токенів порівняно з фактично депонованими активами».
Після очікування періоду охолодження для виведення, зловмисник спалив незаконно створені токени, щоб отримати основне забезпечення, ефективно викачавши активи з протоколу разом із прибутком.
Futureswap зламали втретє за один місяць
Остання атака сталася через кілька днів після того, як платформа втратила понад $395 000 внаслідок експлойту, про який повідомила Phalcon від BlockSec. Зловмисники, які брали участь у тій атаці, вивели кошти через декілька операцій changePosition. Той інцидент, ймовірно, був пов'язаний з неочікуваними змінами в обліку stableBalance під час оновлення позицій, що згодом дозволило вивести USDC під час видалення забезпечення.
Futureswap також зазнала атаки на управління у грудні 2025 року, що принесла зловмисникам як мінімум $830 000. У тому випадку хакери використали flash loan для тимчасового позичення токенів управління, отримавши право голосу для прийняття шкідливої пропозиції щодо переказу коштів із протоколу.
Futureswap наразі втратила понад $1 млн сумарно у трьох окремих атаках, в яких використовувалися різні вразливості платформи.
Legacy DeFi протоколи під атакою
Інциденти з Futureswap є частиною понад $27 млн втрат, які хакери продовжують завдавати старим DeFi платформам у 2026 році.
Інші протоколи на Arbitrum також постраждали останніми тижнями. На початку січня USDGambit та TLP втратили $1,5 млн, коли зловмисники отримали доступ адміністратора і розгорнули шкідливі смарт-контракти. TMX Tribe зазнала експлойту на $1,4 млн, а IPOR Fusion USDC vault втратив $336 000 через вразливість старого контракту, хоча пообіцяв повністю компенсувати постраждалим користувачам.
Попри порушення безпеки, що вразили протоколи на Arbitrum, цей блокчейн другого рівня все ще зберігає понад $3,1 млрд у загальній заблокованій вартості в DeFi, що, на думку деяких аналітиків, і робить його привабливою мішенню для атакуючих.
Мережа залишається серед лідерів серед Ethereum Layer-2 рішень за загальною заблокованою вартістю з моменту запуску в 2021 році.
Що відбувається у таборі Futureswap?
Ніхто з команди Futureswap не робив жодних заяв щодо цих експлойтів. Останній пост в офіційному X-акаунті платформи датується 2023 роком, і повідомляється, що протокол востаннє проходив аудит у 2021 році.
Цей випадок ставить складні питання щодо відповідальності, коли протоколи покидають, але вони продовжують зберігати кошти користувачів. Експерти з безпеки рекомендують командам або коректно виводити з експлуатації старі контракти, або проводити нові аудити безпеки і перевіряти вихідний код.
Користувачам, у свою чергу, радять виводити активи із старих контрактів, які мають ознаки покинутості.
Найрозумніші крипто-експерти вже читають нашу розсилку. Хочете приєднатися? Долучайтеся до них.
