分散型レバレッジ取引プラットフォームFutureswapは、わずか4日間で2度目の攻撃を受け、今回はハッカーに約74,000ドルが盗まれました。
ブロックチェーンセキュリティ企業BlockSec PhalconはXで2度目の攻撃を公表し、攻撃者が数日前にも標的となった同じコントラクトの新たな脆弱性を突いたことを明らかにしました。同社は「損失額自体は大きくないが、興味深いのは新たな攻撃面が現れたことだ。リイタランシー脆弱性だ」と指摘しました。
攻撃者はFutureswapの義務付けられた3日間のクールダウン期間を利用した2段階のプロセスで、計画的に資金を流出させました。
Phalcon(BlockSecの脅威検知プラットフォーム)によれば、攻撃者はまずコントラクトが内部会計を更新する前に0x5308fcb1機能に再侵入。その後「攻撃者は実際に預け入れた資産に対して過剰なLPトークンをミントした」と説明しています。
引き出しのクールダウン期間終了後、攻撃者は不正にミントしたトークンをバーンし、元となる担保資産を償還することで、プロトコルから資産と利益を吸い上げました。
Futureswap、1カ月で3度目のハッキング被害
今回の攻撃は、プラットフォームが数日前にBlockSec Phalconのレーダーに捉えられたエクスプロイトで約395,000ドルを失った直後に発生しました。その際、攻撃者たちは複数のchangePosition操作を通じて資金を盗みました。この事件は、ポジション更新時に発生した予期しないstableBalance会計の変化に関連しており、その後担保を取り除く際にUSDCがリリースされる事態を招きました。
Futureswapは2025年12月にもガバナンス攻撃を受け、攻撃者は少なくとも83万ドルを手にしました。この事件では、ハッカーがフラッシュローンを利用して一時的にガバナンストークンを借り、投票権を獲得して悪意ある提案を可決し、プロトコルから資金を移動させました。
Futureswapはこれまでに、異なる脆弱性を突かれて3回の攻撃で合計100万ドル以上を失っています。
レガシーDeFiプロトコルへの攻撃が続発
Futureswapの一連の事案は、2026年に入ってもレガシーDeFiプラットフォームを狙うハッカーによる被害が2,700万ドルを超えている現状の一部です。
他のArbitrumベースのプロトコルも、ここ数週間で同様の被害を受けています。1月初旬にはUSDGambitとTLPが、攻撃者の管理者権限取得と悪意あるスマートコントラクトの導入により150万ドルを失いました。TMX Tribeは140万ドルの被害、IPOR Fusion USDCボールトはレガシーコントラクトの脆弱性から336,000ドルを失いましたが、影響を受けたユーザー全員への補償を約束しています。
Arbitrum基盤のプロトコルがセキュリティ侵害を受けているにもかかわらず、このレイヤー2ブロックチェーンはDeFiにおけるTVL(Total Value Locked)が依然として31億ドル超と高く、アナリストによればこれが攻撃者の魅力的な標的になる一因だとされています。
同ネットワークは2021年のローンチ以来、Ethereumレイヤー2ソリューションの中でTVLが常に上位を維持しています。
Futureswap陣営では何が起きているのか?
Futureswapチームからは、これらのエクスプロイトに関する声明は発表されていません。プラットフォームのXアカウントの最新投稿は2023年で、プロトコルの最終監査も2021年に実施されたとされています。
このケースは、プロトコルが放置されたままでもユーザー資金が残っている場合の責任の所在について難しい問題を提起しています。セキュリティ専門家は、チームがレガシーコントラクトを適切に廃止・終了させるか、新たなセキュリティ監査とソースコードの検証を行うべきだと推奨しています。
一方、ユーザーには放置の兆候がある古いコントラクトから資産を引き出すことが勧められています。
最も賢いクリプト関係者はすでに私たちのニュースレターを読んでいます。あなたも仲間入りしませんか?
