Arbitrum, một giải pháp mở rộng Ethereum L2, gần đây đã bị khai thác với quy mô lớn. Theo đó, kẻ tấn công đã rút tổng cộng 395.000 đô la từ Arbitrum khi nhắm mục tiêu vào hợp đồng thông minh Futureswap. Theo dữ liệu từ BlockSec Phalcon, kẻ tấn công đã thực hiện một loạt các thao tác đa dạng, bao gồm chuyển $USDC và các khoản vay nhanh (flash loan). Do đó, vụ khai thác này đã làm dấy lên lo ngại trong cộng đồng người dùng về nguy cơ tổn thất tiếp theo có thể xảy ra.
Khai thác Futureswap trên Arbitrum chiếm đoạt 395.000 đô la $USDC thông qua Flash Loan
Dựa trên dữ liệu on-chain, tổng cộng 395.000 đô la đã bị rút khỏi Arbitrum trong vụ khai thác nhắm vào hợp đồng thông minh Futureswap. Cụ thể, sự cố bao gồm một chuỗi các thao tác phức tạp như giao dịch $USDC và flash loan. Ngoài ra, vụ khai thác dường như đã sử dụng nhiều lệnh gọi “changePosition” khác nhau, cuối cùng cho phép kẻ tấn công rút được lượng lớn $USDC.
Quá trình chuyển tài sản bắt đầu với lệnh gọi “flashLoanSimple” của kẻ tấn công, yêu cầu 500 tỷ đơn vị $USDC từ Pool V3 của Aave. Điều này đã kích hoạt một chuỗi các lệnh delegate call khác nhau thông qua “FlashLoanLogic” và “L2PoolInstance.” Nhờ đó, số tiền đã được chuyển đến hợp đồng của kẻ tấn công. Tiếp theo, kẻ tấn công thực hiện lệnh gọi “executeOperation,” nhận khoản vay $USDC, ngoài khoản phí gần 250 triệu đơn vị. Được biết, vụ khai thác này xuất phát từ một số thay đổi bất ngờ trong việc ghi nhận “stableBalance” đã xảy ra trong các lần cập nhật vị thế trước đó.
Sự cố nhấn mạnh nhu cầu bảo vệ DeFi vững chắc và minh bạch
Theo BlockSec Phalcon, lỗ hổng này có thể đã cho phép kẻ tấn công vượt qua các giới hạn tài sản thế chấp cũng như rút $USDC khi đóng vị thế. Hiện tại, đội ngũ Futureswap dự kiến sẽ công bố tuyên bố chính thức liên quan đến sự việc. Diễn biến này nhấn mạnh tầm quan trọng của các biện pháp bảo vệ kế toán nghiêm ngặt và hạ tầng hợp đồng minh bạch trên các nền tảng DeFi. Nhìn chung, các cuộc điều tra vẫn đang được tiến hành nhằm đưa ra các cập nhật và giải pháp phù hợp.
