La plataforma descentralizada de trading con apalancamiento Futureswap ha sido explotada por segunda vez en cuatro días, con los hackers robando aproximadamente $74,000 en esta ocasión.
La firma de seguridad blockchain BlockSec Phalcon reveló el segundo ataque en X, informando que los atacantes explotaron una nueva vulnerabilidad en el mismo contrato que habían atacado solo días antes. La empresa de seguridad señaló que “aunque la pérdida no es grande, la parte interesante es que apareció una nueva superficie de ataque: una vulnerabilidad de reentrancy.”
El atacante empleó un proceso de dos pasos que involucró el período de enfriamiento obligatorio de tres días de Futureswap para drenar sistemáticamente los fondos.
Según Phalcon, la plataforma de detección de amenazas de BlockSec, el atacante primero reingresó en la función 0x5308fcb1 antes de que el contrato actualizara su contabilidad interna. Luego, el “atacante minteó una cantidad excesiva de tokens LP en relación con los activos realmente depositados.”
Después de esperar el período de enfriamiento para el retiro, el atacante quemó los tokens acuñados ilícitamente para canjear el colateral subyacente, desviando efectivamente los activos del protocolo junto con la ganancia.
Futureswap es hackeado por tercera vez en un mes
El último ataque ocurre pocos días después de que la plataforma perdiera más de $395,000 en una explotación que apareció en el radar de Phalcon de BlockSec. Los atacantes que participaron en esa explotación robaron los fondos mediante múltiples operaciones changePosition. Ese incidente pareció estar relacionado con cambios inesperados en la contabilidad de stableBalance durante las actualizaciones de posición que luego permitieron la liberación de USDC al eliminar el colateral.
Futureswap también sufrió un ataque de gobernanza en diciembre de 2025 que les generó a los atacantes al menos $830,000. En ese incidente, los hackers utilizaron un flash loan para tomar prestados temporalmente tokens de gobernanza, obteniendo poder de voto para aprobar una propuesta maliciosa que transfirió fondos del protocolo.
Futureswap ha perdido hasta ahora más de $1 millón en total a través de tres ataques separados que han aprovechado diferentes vulnerabilidades en la plataforma.
Protocolos DeFi heredados bajo asedio
Los incidentes de Futureswap forman parte de los más de $27 millones perdidos a manos de hackers que continúan atacando plataformas DeFi heredadas en 2026.
Otros protocolos basados en Arbitrum han sufrido destinos similares en las últimas semanas. A principios de enero, USDGambit y TLP perdieron $1.5 millones cuando los atacantes obtuvieron acceso de administrador y desplegaron contratos inteligentes maliciosos. TMX Tribe sufrió una explotación de $1.4 millones, mientras que la bóveda Fusion USDC de IPOR perdió $336,000 debido a una vulnerabilidad en un contrato heredado, aunque han prometido reembolsar totalmente a los usuarios afectados.
A pesar de las brechas de seguridad que han afectado a protocolos basados en Arbitrum, la blockchain de capa 2 todavía mantiene más de $3.1 mil millones en valor total bloqueado en DeFi, lo que, según algunos analistas, es parte de lo que la hace un objetivo atractivo para los atacantes.
La red ha permanecido cerca de la primera posición entre las soluciones Layer-2 de Ethereum en términos de valor total bloqueado desde su lanzamiento en 2021.
¿Qué está pasando en el equipo de Futureswap?
Nadie del equipo de Futureswap ha emitido una declaración sobre las explotaciones. La última publicación en la cuenta de X de la plataforma data de 2023, y se dice que el protocolo fue auditado por última vez en 2021.
El caso plantea preguntas difíciles sobre la responsabilidad cuando los protocolos son abandonados pero siguen manteniendo fondos de los usuarios. Los expertos en seguridad recomiendan que los equipos deprecen y desactiven adecuadamente los contratos heredados o que realicen nuevas auditorías de seguridad y verifiquen el código fuente.
Mientras tanto, se aconseja a los usuarios retirar sus activos de contratos antiguos que muestren signos de abandono.
Las mentes más inteligentes del mundo cripto ya leen nuestro boletín. ¿Quieres unirte? Hazlo.
