Спустя несколько дней после взлома, в результате которого было потеряно 400 000 долларов, хакеры снова атаковали платформу Futureswap, принадлежащую компании Aribtrum

Децентрализованная торговая платформа с кредитным плечом Futureswap была взломана во второй раз за четыре дня, и хакеры похитили около 74 000 долларов.

Компания BlockSec Phalcon, специализирующаяся на безопасности блокчейна, сообщила о второй атаке на X, выявив новую уязвимость в том же контрактеtracкоторый они атаковали всего несколько дней назад. Компания отметила, что «хотя ущерб невелик, интересно то, что появилась новая поверхность для атаки: уязвимость повторного входа ».

Злоумышленник использовал двухэтапный процесс, включающий обязательный трехдневный период ожидания на Futureswap, чтобыmaticвыводить средства.

Согласно Phalcon, платформе обнаружения угроз BlockSec, злоумышленник сначала повторно вошел в функцию 0x5308fcb1 до того, как контрактtracактивами внесенными

После истечения периода ожидания вывода средств злоумышленник сжег незаконно выпущенные токены, чтобы обналичить залоговое обеспечение, фактически выведя активы из протокола вместе с прибылью.

Сайт Futureswap взломан в третий раз за месяц.

Последняя атака произошла через несколько дней после того, как платформа потеряла более 395 000 долларов в результате уязвимости, попавшей в поле зрения BlockSec Phalcon. Злоумышленники, участвовавшие в этой атаке, украли средства посредством многочисленных операций changePosition. Этотdent по всей видимости, был связан с неожиданными изменениями в учете stableBalance во время обновления позиций, что впоследствии позволило высвободить USDC при снятии залога.

Futureswap также подвергся атаке на систему управления, в результате которой злоумышленники получили как минимум 830 000 долларов. В ходе этого инцидентаdentиспользовали мгновенный заем для временного использования токенов управления, получив право голоса для принятия вредоносного предложения, которое привело к переводу средств из протокола.

На данный момент Futureswap потеряла в общей сложности более 1 миллиона долларов в результате трех отдельных атак, в которых использовались различные уязвимости платформы.

Устаревшие протоколы DeFi под угрозой

dentна Futureswap являются частью ущерба в размере более 27 миллионов долларов, понесенного хакерами, которые продолжают атаковать устаревшие платформы DeFi и в 2026 году.

Другие протоколы на основе Arbitrum постигла аналогичная участь в последние недели. В начале января USDGambit и TLP потеряли 1,5 миллиона долларов, когда злоумышленники получили доступ к административным настройкам и развернули вредоносные смарт-контрактыtracTMX Tribe пострадал от эксплойта на сумму 1,4 миллиона долларов, а хранилище IPOR Fusion USDC потеряло 336 000 долларов из-за уязвимости устаревших контрактовtracхотя и пообещало полностью возместить ущерб пострадавшим пользователям.

Несмотря на нарушения безопасности, затронувшие протоколы на основе Arbitrum, блокчейн второго уровня по-прежнему хранит более 3,1 миллиарда долларов общей стоимости, заблокированной в DeFi, что, по мнению некоторых аналитиков, делает его привлекательнойtracдля злоумышленников.

С момента запуска в 2021 году сеть неизменно занимает лидирующие позиции среди решений Ethereum Layer-2 по общему объему заблокированных средств.

Что происходит в лагере Futureswap?

Никто из команды Futureswap не сделал заявления по поводу этих взломов. Последняя публикация в аккаунте X на платформе датируется 2023 годом, а последний аудит протокола, как сообщается, проводился в 2021 году.

Этот случай поднимает сложные вопросы об ответственности в ситуациях, когда протоколы забрасываются, но средства пользователей продолжают удерживаться. Эксперты по безопасности рекомендуют командам либо надлежащим образом упразднить иtracдействие устаревших контрактов, либо провести новые аудиты безопасности и проверить исходный код.

Между тем, пользователям рекомендуется вывести активы из старыхtrac, демонстрирующих признаки недействительности.