Kerentanan re-entrancy belum diperbaiki, FutureSwap mengalami serangan beruntun dengan kerugian sebesar 74.000 dolar AS

FutureSwap协议 yang berjalan di atas Arbitrum mengalami dua kali serangan hacker hanya dalam waktu empat hari. Menurut analisis dari lembaga keamanan blockchain BlockSec, setelah serangan pertama pada 10 Januari, protocol ini kembali menjadi target pada 11 Januari dengan kerugian sekitar @E5@ USD. Yang lebih mengkhawatirkan, kedua serangan tersebut memanfaatkan kerentanan re-entry yang sama, menunjukkan bahwa langkah perbaikan setelah serangan pertama mungkin belum menyelesaikan masalah secara menyeluruh.

Analisis Teknik Serangan

Prinsip Kerentanan

Kerentanan re-entry adalah celah keamanan yang paling umum dan berbahaya dalam protocol DeFi. Dalam kejadian FutureSwap ini, kerentanan muncul di fungsi re-entry 0x5308fcb1. Penyerang memanfaatkan titik masuk ini dengan mengeksploitasi kekurangan logika dalam interaksi protocol.

Langkah Spesifik Serangan

• Memicu panggilan abnormal melalui fungsi re-entry 0x5308fcb1
• Mengulangi pemanggilan fungsi selama eksekusi kontrak, melewati pemeriksaan saldo
• Mencetak LP token (token penyedia likuiditas) secara berlebihan
• Menunggu periode pendinginan berakhir untuk menebus aset yang dijaminkan secara berlebihan
• Mendapatkan keuntungan dari selisih tersebut

Kunci dari metode serangan ini terletak pada selisih waktu: penyerang mengakumulasi posisi LP palsu selama masa pendinginan, lalu secara sah menebus aset setelah sistem dibekukan. Secara kasat mata, ini tampak seperti transaksi normal, tetapi jumlah aset yang diperoleh jauh melebihi yang seharusnya.

Dampak Terhadap Peristiwa

Ancaman terhadap FutureSwap

Serangan beruntun ini menunjukkan bahwa perbaikan keamanan protocol mungkin memiliki masalah. Setelah serangan pertama, biasanya tim proyek melakukan audit darurat dan pembaruan patch, tetapi serangan kedua tetap berhasil, yang mengindikasikan:

• Perbaikan pertama mungkin tidak menyeluruh
• Mungkin ada kerentanan lain dengan tipe yang sama
• Mekanisme periode pendinginan mungkin perlu didesain ulang

Risiko Dana Pengguna

Meskipun kerugian kali ini “hanya” sekitar @E5@ USD, bagi protocol yang keamanannya diragukan, ini dapat secara serius merusak kepercayaan pengguna. Dana yang sudah ada di protocol ini tidak hanya menghadapi risiko kerugian langsung, tetapi juga risiko kesulitan likuiditas.

Pelajaran Industri

Dari sudut pandang pribadi, kejadian ini mengungkap beberapa masalah nyata dalam ekosistem DeFi:

Pertama, keterlambatan audit keamanan. Banyak protocol melakukan audit sebelum peluncuran, tetapi hacker sering menemukan celah yang terlewatkan. Kerentanan re-entry bukan konsep baru, tetapi tetap menjadi “senjata” favorit para penyerang.

Kedua, tekanan kecepatan perbaikan. Setelah menemukan kerentanan, tim proyek harus melakukan perbaikan, audit, dan deployment dalam waktu sangat singkat, yang dalam kondisi tekanan tinggi rentan terhadap kesalahan.

Ketiga, tanggung jawab due diligence pengguna. Bahkan protocol yang sudah diaudit pun tetap berisiko, sehingga pengguna harus bertanggung jawab atas dana mereka sendiri.

Kesimpulan

Serangan beruntun terhadap FutureSwap mengingatkan kita bahwa kerentanan re-entry tetap menjadi ancaman besar bagi protocol DeFi. Ini bukan hanya masalah protocol tersebut, tetapi juga peringatan bagi seluruh ekosistem. Bagi pengguna, penting untuk mengevaluasi kembali keamanan protocol ini dan mempertimbangkan apakah akan terus menggunakannya; bagi industri secara umum, diperlukan standar keamanan yang lebih ketat dan mekanisme respons cepat terhadap insiden. Saat ini, perhatian selanjutnya adalah apakah protocol ini akan melakukan peningkatan keamanan secara menyeluruh dan apakah ada pengguna lain yang perlu mendapatkan kompensasi.