Децентрализованная торговая платформа с кредитным плечом Futureswap была взломана во второй раз за четыре дня, и хакеры похитили около 74 000 долларов.
Компания BlockSec Phalcon, специализирующаяся на безопасности блокчейна, сообщила о второй атаке на X, выявив новую уязвимость в том же контрактеtracкоторый они атаковали всего несколько дней назад. Компания отметила, что «хотя ущерб невелик, интересно то, что появилась новая поверхность для атаки: уязвимость повторного входа ».
Злоумышленник использовал двухэтапный процесс, включающий обязательный трехдневный период ожидания на Futureswap, чтобыmaticвыводить средства.
Согласно Phalcon, платформе обнаружения угроз BlockSec, злоумышленник сначала повторно вошел в функцию 0x5308fcb1 до того, как контрактtracактивами внесенными
После истечения периода ожидания вывода средств злоумышленник сжег незаконно выпущенные токены, чтобы обналичить залоговое обеспечение, фактически выведя активы из протокола вместе с прибылью.
Сайт Futureswap взломан в третий раз за месяц.
Последняя атака произошла через несколько дней после того, как платформа потеряла более 395 000 долларов в результате уязвимости, попавшей в поле зрения BlockSec Phalcon. Злоумышленники, участвовавшие в этой атаке, украли средства посредством многочисленных операций changePosition. Этотdent по всей видимости, был связан с неожиданными изменениями в учете stableBalance во время обновления позиций, что впоследствии позволило высвободить USDC при снятии залога.
Futureswap также подвергся атаке на систему управления, в результате которой злоумышленники получили как минимум 830 000 долларов. В ходе этого инцидентаdentиспользовали мгновенный заем для временного использования токенов управления, получив право голоса для принятия вредоносного предложения, которое привело к переводу средств из протокола.
На данный момент Futureswap потеряла в общей сложности более 1 миллиона долларов в результате трех отдельных атак, в которых использовались различные уязвимости платформы.
Устаревшие протоколы DeFi под угрозой
dentна Futureswap являются частью ущерба в размере более 27 миллионов долларов, понесенного хакерами, которые продолжают атаковать устаревшие платформы DeFi и в 2026 году.
Другие протоколы на основе Arbitrum постигла аналогичная участь в последние недели. В начале января USDGambit и TLP потеряли 1,5 миллиона долларов, когда злоумышленники получили доступ к административным настройкам и развернули вредоносные смарт-контрактыtractractractractractractractractracхотя и пообещало полностью возместить ущерб пострадавшим пользователям.
Несмотря на нарушения безопасности, затронувшие протоколы на основе Arbitrum, блокчейн второго уровня по-прежнему хранит более 3,1 миллиарда долларов общей стоимости, заблокированной в DeFitractractractractractractractracдля злоумышленников.
С момента запуска в 2021 году сеть неизменно занимает лидирующие позиции среди решений Ethereum Layer-2 по общему объему заблокированных средств.
Что происходит в лагере Futureswap?
Никто из команды Futureswap не сделал заявления по поводу этих взломов. Последняя публикация в аккаунте X на платформе датируется 2023 годом, а последний аудит протокола, как сообщается, проводился в 2021 году.
Этот случай поднимает сложные вопросы об ответственности в ситуациях, когда протоколы забрасываются, но средства пользователей продолжают удерживаться. Эксперты по безопасности рекомендуют командам либо надлежащим образом упразднить иtracдействие устаревших контрактов, либо провести новые аудиты безопасности и проверить исходный код.
Между тем, пользователям рекомендуется вывести активы из старыхtrac, демонстрирующих признаки недействительности.
