7.4 millones de dólares desaparecen en un instante, ¿qué tan peligroso es la vulnerabilidad de reentrada en el protocolo Arbitrum?

FutureSwap en Arbitrum vuelve a ser atacado. Según las últimas noticias, la empresa de seguridad blockchain BlockSec Phalcon detectó que este protocolo de minería de liquidez fue robado por un proceso cuidadosamente diseñado en dos pasos, por un valor aproximado de 74,000 dólares. Esta vez no se trató de un ataque de flash loan convencional ni de un simple error de parámetros, sino de una vulnerabilidad clásica pero peligrosa de reentrada. Lo que es aún más preocupante es que esto refleja una tendencia de frecuentes problemas de seguridad en el ecosistema DeFi.

Cómo ocurrió el ataque

La vulnerabilidad de reentrada suena compleja, pero en realidad es un juego de diferencia de tiempo. El atacante aprovechó un “vacío” en la ejecución del contrato inteligente.

El proceso de FutureSwap es así: el usuario deposita activos para obtener tokens LP, y luego puede retirarlos. Pero FutureSwap estableció un período de enfriamiento de 3 días para evitar entradas y salidas rápidas. El atacante encontró aquí su punto de entrada.

La sutileza del proceso en dos pasos

Primer paso: ataque de reentrada en la fase de acuñación

El atacante, al proporcionar liquidez, aprovechó una vulnerabilidad en la función 0x5308fcb1. La clave está en que esta función permite que el código externo vuelva a entrar antes de que se actualicen las cuentas internas del contrato. El atacante, al no dejar que el contrato registre aún la cantidad real de activos depositados, volvió a entrar en la misma función, resultando en que acuñó tokens LP mucho más allá de la proporción de los activos depositados realmente.

En términos simples, depositó 100 unidades, pero mediante la vulnerabilidad de reentrada, obtuvo tokens LP equivalentes a 1000 unidades. Esto es el primer paso de “robar sin tener nada”.

Segundo paso: evitar restricciones en la fase de retiro

Pero esto no fue suficiente. El período de enfriamiento de 3 días de FutureSwap estaba diseñado para prevenir este tipo de situaciones. El atacante esperó los 3 días y luego realizó el retiro. Quemó los tokens LP falsificados y recuperó la garantía real. Como resultado, cambió tokens LP falsos por activos reales.

Así se completó toda la operación de robo: de la nada, de lo virtual a lo real.

Por qué esto es muy peligroso

Aunque la pérdida de esta vez fue solo de 74,000 dólares, el problema subyacente es mucho mayor:

1. La vulnerabilidad de reentrada es la “pesadilla clásica” de DeFi. Ya en el ataque a TheDAO en 2016, la vulnerabilidad de reentrada causó pérdidas de millones de dólares. Han pasado diez años y esta vulnerabilidad sigue dañando los protocolos.

2. El período de enfriamiento no es una solución definitiva. FutureSwap pensó que un período de 3 días podría prevenir arbitrajes rápidos, pero no puede evitar ataques de reentrada. Porque el atacante no entra y sale rápidamente durante el período de enfriamiento, sino que ya obtiene tokens LP excesivos en la fase de acuñación mediante reentrada.

3. Esto refleja una tendencia en los problemas de seguridad recientes en DeFi. Justo un día antes (13 de enero), YO Protocol sufrió un evento de intercambio anómalo en Ethereum, donde 3.84 millones de dólares en stkGHO solo se cambiaron por 122,000 dólares en USDC. Aunque fue por un error en los parámetros y no por una vulnerabilidad, también muestra que los riesgos en los protocolos DeFi siguen siendo muy altos.

Lecciones para el ecosistema de Arbitrum

FutureSwap ha sido “nuevamente” atacado, lo que indica que ya tenía problemas de seguridad anteriormente. La exposición de esta vulnerabilidad de reentrada es una advertencia para todo el ecosistema de Arbitrum:

• Los protocolos de minería de liquidez necesitan auditorías de seguridad más rigurosas
• La protección contra reentrada no puede confiar solo en períodos de enfriamiento simples
• Los contratos inteligentes deben seguir un orden de “verificación - ejecución - interacción”, asegurando que las variables internas se actualicen antes de interactuar con contratos externos

Resumen

Este ataque a FutureSwap, aunque con pérdidas relativamente pequeñas, ha puesto al descubierto una vulnerabilidad de reentrada que representa un riesgo sistémico en el ecosistema DeFi. El atacante, mediante un proceso en dos pasos, primero acuñó tokens LP excesivos mediante reentrada, y luego, tras el período de enfriamiento, retiró activos falsificados y los cambió por activos reales. Esto nos recuerda que los problemas de seguridad en DeFi aún no están resueltos, y que desde errores en parámetros hasta fallos técnicos, los riesgos están en todas partes. Para los usuarios, optar por protocolos que hayan sido exhaustivamente auditados sigue siendo la protección más básica.