7.4万美元 мгновенно исчезли, насколько опасна повторная уязвимость протокола Arbitrum

FutureSwap на Arbitrum снова подвергся атаке. Согласно последним сообщениям, блокчейн-компания BlockSec Phalcon обнаружила, что этот протокол ликвидности через тщательно спроектированный двухэтапный процесс был украден примерно на 74 000 долларов США. На этот раз это не обычная атака с использованием флеш-лоана или простая ошибка параметров, а классическая, но опасная уязвимость повторного входа (reentrancy). Более того, это отражает тенденцию частых проблем с безопасностью в экосистеме DeFi в последнее время.

Как произошла атака

Уязвимость повторного входа звучит сложно, на самом деле это игра на временной разнице. Атакующий использует “пробел” в процессе выполнения смарт-контракта.

Процесс FutureSwap выглядит так: пользователь вносит активы для получения LP-токенов, затем может их вывести. Но FutureSwap установил 3-дневный период охлаждения, чтобы предотвратить быстрый вход и выход. Именно здесь злоумышленник нашел брешь.

Искусство двухэтапного процесса

Первый этап: повторный вход при создании

Атакующий при предоставлении ликвидности использовал уязвимость в функции 0x5308fcb1. Ключевой момент в том, что эта функция позволяет внешнему коду повторно войти до обновления внутренних счетов контракта. Атакующий, пока контракт еще не зафиксировал реальное количество внесенных активов, уже повторно вошел в ту же функцию, в результате чего он создал LP-токены, значительно превышающие фактический вклад.

Проще говоря, он внес 100 долларов, но благодаря уязвимости получил LP-токены, эквивалентные 1000 долларам. Это — первый шаг “белого воротничка” (white-hat).

Второй этап: обход ограничений при выводе

Но этого было недостаточно. 3-дневный период охлаждения в FutureSwap предназначен для предотвращения таких ситуаций. Атакующий дождался 3 дней и выполнил вывод. Он сжег нелегально созданные LP-токены и обменял их на реальные залоги. В результате он обменял фальшивые LP-токены на реальные активы.

Так завершилась вся кража: из ничего — в реальность, из иллюзии — в материю.

Почему это опасно

Хотя убытки этой атаки составили всего 74 000 долларов, за этим скрываются более серьезные проблемы:

1. Уязвимость повторного входа — “классический кошмар” DeFi. Еще в 2016 году в атаке на TheDAO эта уязвимость привела к потере миллионов долларов. Прошло десять лет, а эта уязвимость все еще наносит вред протоколам.

2. Период охлаждения не панацея. FutureSwap полагал, что 3-дневный период сможет предотвратить быструю арбитражную торговлю, но он не защищает от атак с повторным входом. Атакующий не входил и выходил быстро в период охлаждения, а уже на этапе создания он использовал повторный вход для получения сверхнормативных LP-токенов.

3. Это отражение текущих тенденций в безопасности DeFi. Вчера (13 января) протокол YO Protocol на Ethereum столкнулся с необычной операцией обмена, в результате которой 3,84 миллиона долларов stkGHO обменялись всего на 12,2 тысячи долларов USDC. Хотя это было связано с ошибкой параметров, а не уязвимостью, это также показывает, что риски в DeFi остаются высокими.

Что это значит для экосистемы Arbitrum

FutureSwap “снова” подвергся атаке, что говорит о наличии у него предыдущих проблем с безопасностью. Обнаруженная уязвимость повторного входа — напоминание для всей экосистемы Arbitrum:

• Протоколы ликвидности требуют более строгих аудитов безопасности
• Защита от повторного входа не должна полагаться только на простой период охлаждения
• Смарт-контракты должны следовать принципу “проверка — выполнение — взаимодействие”, чтобы гарантировать обновление внутренних состояний перед взаимодействием с внешними контрактами

Итог

Хотя убытки FutureSwap в этой атаке были относительно малы, выявленная уязвимость повторного входа представляет системный риск для DeFi. Атакующий использовал двухэтапный хитрый процесс: сначала через уязвимость повторного входа создал сверхнормативные LP-токены, затем после периода охлаждения вывел фальшивые активы и обменял их на реальные. Это напоминает, что безопасность в DeFi еще далека от идеала — от ошибок параметров до технических уязвимостей, риски повсюду. Для пользователей самым надежным остается выбор протоколов с тщательным аудитом.