Уразливість повторного входу не виправлена, FutureSwap зазнав послідовних атак і втратив 74 000 доларів США

Розгортання протоколу FutureSwap на Arbitrum за короткий період у чотири дні зазнало двох хакерських атак. За аналізом блокчейн-безпечної організації BlockSec, після першої атаки 10 січня, протокол знову став ціллю 11 січня, цього разу з втратами приблизно 7,4 тисячі доларів США. Що ще тривожніше, обидві атаки використовували один і той самий вразливий пункт — повторне входження (reentrancy), що свідчить про те, що заходи щодо усунення першої атаки, можливо, не повністю вирішили корінну проблему.

Аналіз методів атаки

Принцип вразливості

Вразливість повторного входження — одна з найпоширеніших і найнебезпечніших безпекових проблем у DeFi-протоколах. У випадку FutureSwap, вразливість була виявлена у функції повторного входження 0x5308fcb1. Атакуючий, використовуючи цей вхід, скористався логічною помилкою у процесі взаємодії з протоколом.

Конкретні кроки атаки

• Виклик функції повторного входження 0x5308fcb1 для запуску виключення
• Повторний виклик функції під час виконання контракту, обходячи перевірку балансу
• Надмірне створення LP-токенів (токенів провайдера ліквідності)
• Очікування завершення періоду охолодження для викупу надмірно закріплених активів
• Отримання прибутку

Ключовий момент цієї атаки — різниця у часі: зловмисник накопичує фальшиві позиції LP у період охолодження, а потім, коли система розморожується, легально викуповує активи. Зовні це може виглядати як звичайна транзакція, але кількість отриманих активів значно перевищує очікувану.

Оцінка впливу події

Загроза для FutureSwap

Послідовні атаки свідчать про можливі проблеми з безпековим ремонтом протоколу. Після першої атаки зазвичай команда проводить терміновий аудит і оновлення патчів, але друга атака все одно сталася, що натякає на:

• Недосконалість першого ремонту
• Можливу наявність інших таких самих вразливостей
• Необхідність переосмислення механізму періоду охолодження

Ризики для користувацьких коштів

Хоча цього разу втрати склали “лише” 7,4 тисячі доларів, для протоколу з підозрілою безпекою це серйозний удар по довірі користувачів. Користувачі, які вже мають кошти в цьому протоколі, стикаються не лише з ризиком прямої втрати, а й з ризиком труднощів із ліквідністю.

Висновки для галузі

З особистої точки зору, ця подія висвітлює кілька актуальних проблем у DeFi-екосистемі:

По-перше, затримки у безпековому аудиті. Багато протоколів проходять аудит перед запуском, але хакери часто знаходять прогалини, які пропустили. Вразливість повторного входження, хоча й не нова, залишається “улюбленою зброєю” атакуючих.

По-друге, високий тиск на швидкість виправлення. Після виявлення вразливості команда має дуже швидко провести аудит, випустити патчі та розгорнути оновлення, що у високонапряженому режимі може призвести до помилок.

По-третє, відповідальність користувачів за свою обережність. Навіть протоколи з аудитом можуть мати ризики, і користувачі мають нести відповідальність за свої кошти.

Підсумки

Послідовні атаки FutureSwap наголошують, що вразливість повторного входження залишається серйозною загрозою для DeFi-протоколів. Це не лише проблема цього протоколу, а й загальна проблема екосистеми. Для користувачів важливо переоцінити безпеку цього протоколу і вирішити, чи продовжувати його використовувати; для галузі — потрібні більш строгі стандарти безпеки та швидкі механізми реагування. Зараз важливо стежити за тим, чи буде протокол оновлений з більш глибоким підходом до безпеки і чи постраждалі користувачі отримають компенсацію.