Ang desentralisadong leverage trading platform na Futureswap ay na-exploit muli sa pangalawang pagkakataon sa loob ng apat na araw, kung saan ang mga hacker ay nanakaw ng tinatayang $74,000 sa pagkakataong ito.
Ibinunyag ng blockchain security firm na BlockSec Phalcon ang ikalawang pag-atake sa X, at isiniwalat na ang mga umaatake ay nakahanap ng bagong kahinaan sa parehong kontrata na kanilang tina-target ilang araw lang ang nakalipas. Binanggit ng security firm na “bagama’t hindi malaki ang nawala, ang interesante ay lumitaw ang bagong attack surface: isang reentrancy vulnerability.”
Gumamit ang umaatake ng dalawang-hakbang na proseso na kinasasangkutan ng sapilitang tatlong-araw na cooldown period ng Futureswap upang sistematikong maubos ang pondo.
Ayon sa Phalcon, platform ng threat detection ng BlockSec, unang nag-re-enter ang attacker sa 0x5308fcb1 function bago ma-update ng kontrata ang internal accounting nito. Pagkatapos, “lumika ang attacker ng labis na dami ng LP tokens kumpara sa aktwal na naideposito.”
Matapos hintayin ang withdrawal cooldown, sinunog ng attacker ang ilegal na nilikhang tokens upang i-redeem ang underlying collateral, na sa gayon ay epektibong nailipat ang mga assets mula sa protocol kasama ang tubo.
Futureswap ay na-hack sa ikatlong pagkakataon sa loob ng isang buwan
Ang pinakahuling pag-atake ay naganap ilang araw matapos na mawalan ng mahigit $395,000 ang platform sa isang exploit na napansin ng BlockSec Phalcon. Ang mga umaatake sa insidenteng iyon ay nagnakaw ng pondo sa pamamagitan ng maraming changePosition operations. Ang insidenteng iyon ay tila may kaugnayan sa hindi inaasahang pagbabago sa stableBalance accounting tuwing may position updates na kalaunan ay nagpapahintulot sa paglabas ng USDC kapag tinatanggal ang collateral.
Nakaranas din ang Futureswap ng governance attack noong Disyembre 2025 kung saan nakakuha ang mga umaatake ng hindi bababa sa $830,000. Sa insidenteng iyon, gumamit ang mga hacker ng flash loan upang pansamantalang mahiram ang governance tokens, nagkaroon ng voting power, at naipasa ang isang malisyosong proposal na naglipat ng pondo mula sa protocol.
Sa kabuuan, mahigit $1 milyon na ang nawala sa Futureswap sa tatlong magkakahiwalay na pag-atake na gumamit ng magkaibang kahinaan sa platform.
Legacy DeFi protocols, binabanatan
Ang mga insidente sa Futureswap ay bahagi ng mahigit $27 milyon na nawala sa mga hacker na patuloy na tina-target ang mga legacy DeFi platform hanggang 2026.
Iba pang mga protocol na nakabase sa Arbitrum ay nakaranas din ng parehong kapalaran nitong mga nakaraang linggo. Noong unang bahagi ng Enero, USDGambit at TLP ay nawalan ng $1.5 milyon nang makuha ng mga umaatake ang admin access at mag-deploy ng malisyosong smart contracts. Ang TMX Tribe ay na-exploit ng $1.4 milyon, habang ang IPOR Fusion USDC vault ay nawalan ng $336,000 dahil sa legacy contract vulnerability, ngunit nangakong babayaran ng buo ang mga naapektuhang user.
Sa kabila ng mga security breaches na tumama sa mga protocol na nakabase sa Arbitrum, nananatiling mahigit $3.1 bilyon ang total value locked sa DeFi ng layer-2 blockchain, na ayon sa ilang analyst ay dahilan kung bakit ito kaakit-akit na target para sa mga umaatake.
Nananatiling malapit sa tuktok ang network sa mga Ethereum Layer-2 solutions pagdating sa total value locked simula nang ito’y ilunsad noong 2021.
Ano ang nangyayari sa kampo ng Futureswap?
Wala pang miyembro ng Futureswap team ang naglabas ng pahayag ukol sa mga exploit. Ang huling post sa X account ng platform ay noong 2023, at sinasabing huling na-audit ang protocol noong 2021.
Ang kasong ito ay nagbubukas ng mahihirap na tanong ukol sa responsibilidad kapag ang mga protocol ay inabandona ngunit patuloy na may hawak na pondo ng user. Inirerekomenda ng mga security expert na ang mga team ay dapat maayos na i-deprecate at i-sunset ang mga legacy contract o magsagawa ng panibagong security audit at i-verify ang source code.
Samantala, pinapayuhan ang mga user na i-withdraw ang kanilang mga assets mula sa mga lumang kontrata na nagpapakita ng palatandaan ng pag-abandona.
Ang pinakamagagaling na isip sa crypto ay nagbabasa na ng aming newsletter. Gusto mo rin ba? Sumali ka na.
