Comprar Cripto
Pagar com
USD
USD
Comprar e vender
HOT
Compre e venda criptomoedas através da Apple Pay, cartões, Google Pay, transferências bancárias e muito mais
P2P
0 Fees
Taxas zero, mais de 400 opções de pagamento e compra e venda fácil de criptomoedas
Cartão Gate
Cartão de pagamento de criptomoedas, que permite transações globais sem falhas.
Mercados
Negociar
Básico
Avançado
Futuros
Futuros
Centenas de contratos liquidados em USDT ou BTC
Opções
HOT
Negoceie Opções Vanilla ao estilo europeu
Conta Unificada
Maximize a eficiência do seu capital
Arranque dos futuros
Prepare-se para a sua negociação de futuros
Eventos de futuros
Participe em eventos para ganhar recompensas generosas
Negociação de demonstração
Utilize fundos virtuais para experimentar uma negociação sem riscos
Earn
Lançamento
CandyDrop
tag
Recolher doces para ganhar airdrops
Launchpool
Faça staking rapidamente, ganhe potenciais novos tokens
HODLer Airdrop
Detenha GT e obtenha airdrops maciços de graça
Launchpad
tag
Chegue cedo ao próximo grande projeto de tokens
Pontos Alpha
NEW
Negoceie ativos on-chain e desfrute de recompensas de airdrop!
Pontos de futuros
NEW
Ganhe pontos de futuros e receba recompensas de airdrop
Investimento
Comunidade
Square
Gate Fun
Partilhe a sua publicação e mantenha-se informado sobre as criptomoedas e não só
Em direto
moments live
Análise de mercado cripto em tempo real
Conversar
Converse com os operadores cripto
Notícias
O que está a acontecer na criptografia
Mais
Promoções
Guia para iniciantes
giveaways
Centro de Recompensas
Square
Últimas
Quente
Notícias
Perfil

7.4 milhões de dólares evaporaram instantaneamente, quão perigosa é a vulnerabilidade de reentrada neste protocolo Arbitrum

梭哈哥vip

FutureSwap novamente foi alvo de um ataque na Arbitrum. De acordo com as últimas notícias, a empresa de segurança blockchain BlockSec Phalcon detectou que este protocolo de mineração de liquidez foi roubado em cerca de 74.000 dólares através de um processo de duas etapas cuidadosamente planeado. Desta vez, não se tratou de um ataque de flash loan convencional ou de um simples erro de parâmetros, mas de uma vulnerabilidade clássica e perigosa de reentrada. Ainda mais preocupante, isto reflete uma tendência de frequentes problemas de segurança na ecossistema DeFi recentemente.

Como ocorreu o ataque

A vulnerabilidade de reentrada parece complexa, mas na verdade é um jogo de timing. O atacante aproveitou uma “lacuna” na execução do contrato inteligente.

O processo do FutureSwap é assim: o usuário deposita ativos para obter tokens LP, que podem ser posteriormente resgatados. Mas o FutureSwap estabeleceu um período de espera de 3 dias, para evitar entradas e saídas rápidas. Foi aqui que o atacante encontrou a brecha.

A engenhosidade do processo em duas etapas

Primeira etapa: ataque de reentrada na fase de cunhagem

Durante a provisão de liquidez, o atacante explorou uma vulnerabilidade na função 0x5308fcb1. O ponto crucial é que essa função permite reentrar antes de atualizar as contas internas do contrato. O atacante, ao reentrar na mesma função antes que o contrato registre a quantidade real de ativos depositados, conseguiu cunhar tokens LP muito superiores ao valor realmente depositado.

Simplificando, ele depositou 100 unidades, mas por meio da vulnerabilidade de reentrada, obteve tokens LP equivalentes a 1000 unidades. Este é o primeiro passo do “ganhar sem investir”.

Segunda etapa: evitar restrições na fase de retirada

Mas isso não foi suficiente. O período de espera de 3 dias do FutureSwap foi criado justamente para prevenir esse tipo de situação. O atacante aguardou os 3 dias e então executou a retirada. Ele queimou os tokens LP ilegais que cunhou, trocando-os por garantias reais. Como resultado, trocou tokens falsos por ativos legítimos.

Assim, completou-se o roubo: do nada ao real, do virtual ao concreto.

Por que isso é perigoso

Embora o prejuízo desta vez tenha sido de apenas 7,4 mil dólares, o problema por trás é maior:

  1. Vulnerabilidades de reentrada são o “pesadelo clássico” do DeFi. Desde o ataque ao TheDAO em 2016, que causou perdas de milhões de dólares, essa vulnerabilidade continua a prejudicar protocolos. Passaram-se dez anos, e ela ainda persiste.

  2. Período de espera não é uma solução definitiva. O FutureSwap achou que o espera de 3 dias poderia impedir arbitragem rápida, mas não consegue evitar ataques de reentrada. Porque o atacante não entra e sai rapidamente durante o período de espera, mas já consegue obter tokens LP excessivos na fase de cunhagem por meio de reentrada.

  3. Reflexo das recentes questões de segurança no DeFi. No dia anterior (13 de janeiro), o protocolo YO Protocol na Ethereum sofreu uma troca de tokens anormal, com apenas 12,2 mil dólares de USDC obtidos a partir de 3,84 milhões de dólares em stkGHO. Embora tenha sido um erro de configuração de parâmetros e não uma vulnerabilidade, isso também demonstra que os riscos nos protocolos DeFi continuam elevados.

Lições para o ecossistema Arbitrum

O fato de o FutureSwap ter sido “novamente” atacado indica que já tinha problemas de segurança anteriores. A exposição desta vulnerabilidade de reentrada serve como um alerta para todo o ecossistema Arbitrum:

  • Protocolos de mineração de liquidez precisam de auditorias de segurança mais rigorosas
  • Proteções contra reentrada não podem depender apenas de períodos de espera simples
  • Contratos inteligentes devem seguir a sequência “verificar - efetivar - interagir”, garantindo que o estado interno seja atualizado antes de interagir com contratos externos

Resumo

Embora o prejuízo do ataque ao FutureSwap tenha sido relativamente pequeno, a vulnerabilidade de reentrada descoberta representa um risco sistêmico para o ecossistema DeFi. O atacante, por meio de um processo em duas etapas, primeiro cunhou tokens LP excessivos por reentrada, e depois, após o período de espera, trocou esses tokens falsos por ativos reais. Isso nos lembra que os problemas de segurança no DeFi ainda estão longe de serem resolvidos, com riscos que vão desde erros de parâmetros até vulnerabilidades técnicas. Para os usuários, optar por protocolos que passaram por auditorias completas continua sendo a proteção mais básica.

ARB-3,22%
USDC-0,03%
ETH-0,46%
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
  • Recompensa
  • Comentar
  • Republicar
  • Partilhar
Comentar
0/400
Nenhum comentário

  • Fixar

Mapa do site
Negocie cripto em qualquer lugar e a qualquer hora
qrCode
Digitalizar para transferir a aplicação Gate
Novidades
Português (Portugal)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • Sobre nósCarreirasSala de imprensaPatrocinador da Oracle Red Bull RacingParceiro oficial de manga do FC InterContrato de utilizadorAviso de riscoPolítica de privacidadePolítica de cookiesKit de mediaComprovativo de ReservasLicençaSegurançaGateToken (GT)GUSDGate ChainEventos GateAutoridadesCimeirasGate Ventures
    P2PConversão e negociação em blocosNegociação à vistaNegociação de futurosAçõesAlphaMargemTokens alavancadosNFTGate PayGate LifeCartão de ofertaGate OTCGate CharityLoja GateWeb3Gate Perp DEXGate Vault
    Benefícios VIPInstitucionalFeedback do utilizadorAnúncioTarifasCentral de AjudaEnviar um pedidoSolicitação de listagemContrato inteligente seguroDesenvolvedoresVerificação de PesquisaAplicação de Mercador P2PPrograma de afiliadosCalendário CriptoSolução cross-chain da
    Gate LearnCursos de CriptomoedasGlossário de CriptomoedasPreços de criptomoedasGrandes DadosDivisão ao Meio do BitcoinAtualização do Ethereum (ETH)Wiki de criptomoedasCalculadora de cripto