Acheter Cryptos
Payer en
USD
Acheter & Vendre
HOT
Achetez et vendez des cryptomonnaies via Apple Pay, cartes bancaires, Google Pay, virements bancaires et d'autres méthodes de paiement.
P2P
0 Fees
Zéro frais, +400 options de paiement et une expérience ultra fluide pour acheter et vendre vos cryptos
Carte Gate
Carte de paiement crypto, permettant d'effectuer des transactions mondiales en toute transparence.
Trader
Basique
Spot
Échangez des cryptos librement
Marge
Augmentez vos bénéfices grâce à l'effet de levier
Conversion & Trading en blocs
0 Fees
Tradez n’importe quel volume sans frais ni slippage
Tokens à effet de levier
Soyez facilement exposé à des positions à effet de levier
Pré-marché
Trade de nouveaux jetons avant qu'ils ne soient officiellement listés
Futures
Futures
Des centaines de contrats réglés en USDT ou en BTC
Options
HOT
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Lancement Futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez à des événements pour gagner de généreuses récompenses
Trading démo
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Earn
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Launchpad
Soyez les premiers à participer au prochain grand projet de jetons
Points Alpha
NEW
Tradez des actifs on-chain et profitez des récompenses en airdrop !
Points Futures
NEW
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Acheter à bas prix et vendre à prix élevé pour tirer profit des fluctuations de prix
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
Gestion de patrimoine VIP
La gestion qui fait grandir votre richesse
Gestion privée de patrimoine
Gestion personnalisée des actifs pour accroître vos actifs numériques
Fonds Quant
Une équipe de gestion d'actifs de premier plan vous aide à réaliser des bénéfices en toute simplicité
Staking
Stakez des cryptos pour gagner avec les produits PoS.
Levier Smart
NEW
Pas de liquidation forcée avant l'échéance, des gains à effet de levier en toute sérénité
Mint de GUSD
Utilisez des USDT/USDC pour minter des GUSD et obtenir des rendements de niveau trésorerie
Plus
Sujets populaires
Afficher plus14.68K Popularité
31.74K Popularité
7.91K Popularité
22.69K Popularité
123.64K Popularité
Hot Gate Fun
Afficher plus- 1
X
X
MC:$3.69KDétenteurs:10.18% - MC:$0.1Détenteurs:10.00%
- MC:$3.6KDétenteurs:10.00%
- 4
$
鲲鹏
MC:$3.61KDétenteurs:10.00% - MC:$3.61KDétenteurs:10.00%
Épingler
7.4 millions de dollars américains ont disparu en un instant, à quel point la vulnérabilité de réentrée de ce protocole Arbitrum est-elle dangereuse
FutureSwap sur Arbitrum a de nouveau été attaqué. Selon les dernières informations, la société de sécurité blockchain BlockSec Phalcon a détecté que ce protocole de yield farming a été dérobé d’environ 74 000 dollars via un processus en deux étapes soigneusement conçu. Cette attaque ne relève pas d’un simple flash loan ou d’une erreur de paramètre, mais d’une vulnérabilité classique mais dangereuse de reentrancy. Plus inquiétant encore, cela reflète une tendance récente de problèmes de sécurité fréquents dans l’écosystème DeFi.
Comment l’attaque s’est-elle produite
La vulnérabilité de reentrancy peut sembler complexe, mais il s’agit en réalité d’un jeu de timing. L’attaquant exploite une “faille” dans l’exécution du contrat intelligent.
Le processus de FutureSwap est le suivant : l’utilisateur dépose des actifs pour obtenir des tokens LP, puis peut les retirer. Mais FutureSwap a mis en place une période de refroidissement de 3 jours pour empêcher les utilisateurs de faire des allers-retours rapides. C’est ici que l’attaquant a trouvé une faille.
La finesse du processus en deux étapes
Première étape : attaque de reentrancy lors de la phase de mint
L’attaquant, en fournissant de la liquidité, a exploité une vulnérabilité dans la fonction 0x5308fcb1. Le point clé est que cette fonction permet une réentrée avant la mise à jour des comptes internes du contrat. L’attaquant a pu ré-entrer dans la même fonction alors que le contrat n’avait pas encore enregistré la quantité réelle d’actifs déposés. Résultat : il a minté des tokens LP bien supérieurs à la proportion réelle de ses dépôts.
En termes simples, il a déposé 100 unités monétaires, mais grâce à la vulnérabilité de reentrancy, il a obtenu des tokens LP équivalant à 1000 unités. C’est la première étape du “gagner sans rien faire”.
Deuxième étape : contourner la limite lors du retrait
Mais ce n’était pas suffisant. La période de refroidissement de 3 jours de FutureSwap était censée prévenir ce genre de situation. L’attaquant a attendu 3 jours, puis a effectué le retrait. Il a brûlé ces tokens LP illégitimes pour récupérer la garantie réelle. En résumé, il a échangé de faux tokens LP contre des actifs réels.
Cela a complété le vol : du virtuel au réel, du faux au vrai.
Pourquoi c’est dangereux
Bien que la perte de cette attaque ne soit que de 74 000 dollars, le problème sous-jacent est bien plus vaste :
La vulnérabilité de reentrancy est le “cauchemar classique” de la DeFi. Déjà en 2016, lors de l’attaque de TheDAO, cette faille avait causé des pertes de plusieurs millions de dollars. Après dix ans, cette vulnérabilité continue de faire des dégâts.
La période de refroidissement n’est pas une solution miracle. FutureSwap pensait que 3 jours suffiraient à prévenir l’arbitrage rapide, mais cela ne protège pas contre la reentrancy. Car l’attaquant n’a pas attendu la fin de la période pour faire ses manipulations, il a déjà obtenu un excès de tokens LP lors de la phase de mint via reentrancy.
Cela reflète une tendance récente dans la sécurité de la DeFi. La veille (13 janvier), le protocole YO Protocol a connu une anomalie de swap sur Ethereum, avec 3,84 millions de dollars de stkGHO échangés contre seulement 12 200 dollars USDC. Bien que cela soit dû à une erreur de paramétrage et non à une vulnérabilité, cela montre que les risques dans la DeFi restent élevés.
Les enseignements pour l’écosystème Arbitrum
FutureSwap a été “de nouveau” attaqué, ce qui indique qu’il avait déjà rencontré des problèmes de sécurité. La révélation de cette vulnérabilité de reentrancy doit servir d’avertissement pour tout l’écosystème Arbitrum :
En résumé
Cette attaque contre FutureSwap, bien que relativement modérée en pertes, a mis en lumière une vulnérabilité systémique dans l’écosystème DeFi. L’attaquant a exploité un processus en deux étapes : d’abord en utilisant la vulnérabilité de reentrancy pour mint des tokens LP en excès, puis en profitant de la période de refroidissement pour échanger ces tokens contre des actifs réels. Cela nous rappelle que la sécurité dans la DeFi est encore loin d’être assurée, que ce soit par erreur de paramètre ou par faille technique, le risque est omniprésent. Pour les utilisateurs, choisir des protocoles ayant subi des audits approfondis reste la protection la plus fondamentale.