Des pirates informatiques ont de nouveau attaqué Futureswap, plateforme basée à Aribtrum, quelques jours après une faille de sécurité de 400 000 $

La plateforme de trading décentralisée à effet de levier Futureswap a été exploitée pour la deuxième fois en quatre jours, les pirates ayant dérobé cette fois-ci environ 74 000 $.

La société de sécurité blockchain BlockSec Phalcon a révélé la seconde attaque contre X, montrant que les attaquants avaient exploité une nouvelle vulnérabilité dans le même contrattracavaient ciblé quelques jours auparavant. La société de sécurité a noté que « bien que les pertes ne soient pas importantes, le plus intéressant est l'apparition d'une nouvelle surface d'attaque : une vulnérabilité de réentrance ».

L'attaquant a utilisé un processus en deux étapes exploitant la période de refroidissement obligatoire de trois jours de Futureswap pour vidermaticles fonds.

Selon Phalcon, la plateforme de détection des menaces de BlockSec, l'attaquant a d'abord réexécuté la fonction 0x5308fcb1 avant que le contrattracmette à jour sa comptabilité interne. Ensuite, « l'attaquant a émis une quantité excessive de jetons LP par rapport aux actifs réellement déposés ».

Après avoir attendu la fin du délai de retrait, l'attaquant a brûlé les jetons émis illégalement pour récupérer la garantie sous-jacente, siphonnant ainsi les actifs du protocole et les profits qui en découlent.

Futureswap est piraté pour la troisième fois en un mois.

Cette dernière attaque survient quelques jours après que la plateforme a perdu plus de 395 000 $ suite à une faille de sécurité détectée par Phalcon, le système de sécurité de BlockSec. Les attaquants impliqués ont dérobé les fonds via de multiples opérations de modification de position. Cetdent semble lié à des modifications inattendues de la comptabilité du solde stable lors de mises à jour de positions, permettant ainsi la libération d'USDC lors du retrait de garanties.

Futureswap a également subi une attaque de gouvernance en décembre 2025 qui a rapporté aux attaquants au moins 830 000 $. Lors de cet incidentdentdes pirates informatiques ont utilisé un prêt éclair pour emprunter temporairement des jetons de gouvernance, obtenant ainsi le pouvoir de vote pour faire adopter une proposition malveillante qui a transféré des fonds du protocole.

Futureswap a jusqu'à présent perdu plus d'un million de dollars au total suite à trois attaques distinctes qui ont exploité différentes vulnérabilités de la plateforme.

Les protocoles DeFi traditionnels sous pression

Lesdentliés à Futureswap font partie des plus de 27 millions de dollars perdus à cause de pirates informatiques qui continuent de cibler les plateformes DeFi traditionnelles jusqu'en 2026.

D'autres protocoles basés sur Arbitrum ont subi des pertes similaires ces dernières semaines. Début janvier, USDGambit et TLP ont perdu 1,5 million de dollars lorsque des attaquants ont obtenu un accès administrateur et déployé des contrats intelligents malveillantstracTMX Tribe a été victime d'une faille de sécurité ayant entraîné une perte de 1,4 million de dollars, tandis que le coffre-fort IPOR Fusion USDC a perdu 336 000 dollars en raison d'une vulnérabilité liée à un ancien contrattracbien qu'il se soit engagé à rembourser intégralement les utilisateurs concernés.

Malgré les failles de sécurité qui ont touché les protocoles basés sur Arbitrum, la blockchain de couche 2 détient toujours plus de 3,1 milliards de dollars de valeur totale bloquée dans DeFi, ce qui, selon certains analystes, en fait unetracpour les attaquants.

Depuis son lancement en 2021, le réseau s'est maintenu parmi les meilleures solutions Ethereum de couche 2 en termes de valeur totale bloquée.

Que se passe-t-il au camp Futureswap ?

Aucun membre de l'équipe Futureswap n'a publié de déclaration concernant ces failles de sécurité. La dernière publication sur le compte X de la plateforme remonte à 2023, et le protocole aurait été audité pour la dernière fois en 2021.

Cette affaire soulève des questions complexes de responsabilité lorsque des protocoles sont abandonnés mais continuent de détenir des fonds d'utilisateurs. Les experts en sécurité recommandent aux équipes soit de déprécier et de mettre fin correctement auxtracexistants, soit de réaliser de nouveaux audits de sécurité et de vérifier le code source.

Par ailleurs, il est conseillé aux utilisateurs de retirer leurs actifs destracplus anciens présentant des signes d'abandon.