Arbitrum,作為一個Ethereum的L2擴容解決方案,近期遭遇了一起驚人的攻擊。在這次事件中,攻擊者針對Futureswap智能合約,從Arbitrum中提取了總計39.5萬美元。根據BlockSec Phalcon的數據,攻擊者進行了一連串多樣化的操作,包括$USDC轉帳和閃電貸款。因此,這次攻擊引發了用戶對於進一步潛在損失的擔憂。
Arbitrum Futureswap漏洞通過閃電貸竊取39.5萬美元$USDC
根據鏈上數據,總計395,000美元因一起針對Arbitrum上Futureswap智能合約的攻擊而被盜。此次事件涉及一系列複雜的操作,如$USDC交易和閃電貸。此外,攻擊似乎利用了多個“changePosition”操作,最終使攻擊者能夠提取大額$USDC。
資金流向追蹤顯示,攻擊者首先發起“flashLoanSimple”操作,向Aave的Pool V3請求了500億單位的$USDC。這啟動了一系列透過“FlashLoanLogic”和“L2PoolInstance”實現的委託調用,將資金轉入攻擊者的合約。隨後,攻擊者執行了“executeOperation”操作,獲得$USDC貸款,並額外獲得了近2.5億單位的溢價。據悉,此次漏洞源於先前頭寸更新中“stableBalance”賬務出現的意外變化。
事件突顯DeFi平台需加強保護與透明度
根據BlockSec Phalcon,該漏洞可能允許攻擊者繞過抵押限制,並在移除頭寸時提取$USDC。目前,Futureswap團隊預計將發布公開聲明回應本次事件。此次事件凸顯了在DeFi平台中實施嚴格賬務保護和透明合約基礎設施的重要性。整體而言,相關調查正在進行,以提出適當的補救更新方案。
