Vulnerabilidade de reentrada não corrigida, FutureSwap sofreu ataques consecutivos e perdeu 74 000 dólares

Deployado na Arbitrum, o protocolo FutureSwap enfrentou duas tentativas de ataque hacker em apenas quatro dias. Segundo a análise da agência de segurança blockchain BlockSec, após o primeiro ataque em 10 de janeiro, o protocolo foi novamente alvo em 11 de janeiro, desta vez com uma perda de aproximadamente 7,4 mil dólares. Ainda mais preocupante, ambas as tentativas de ataque exploraram a mesma vulnerabilidade de reentrada, indicando que as medidas corretivas após o primeiro ataque podem não ter resolvido completamente o problema fundamental.

Análise da técnica de ataque

Princípio da vulnerabilidade

A vulnerabilidade de reentrada é uma das ameaças de segurança mais comuns e perigosas em protocolos DeFi. No incidente do FutureSwap, a falha ocorreu na função de reentrada 0x5308fcb1. O atacante utilizou esse ponto de entrada para explorar uma deficiência lógica na interação do protocolo.

Passos específicos do ataque

• Disparo de chamada excepcional através da função de reentrada 0x5308fcb1
• Repetição da chamada da função durante a execução do contrato, burlando a verificação de saldo
• Mint excessivo de tokens LP (tokens de provedor de liquidez)
• Aguardar o fim do período de cooldown para resgatar os ativos hipotecados em excesso
• Realizar a retirada de lucros

A chave dessa abordagem de ataque está na diferença de tempo: o atacante acumula posições falsas de LP durante o período de cooldown e, após o desbloqueio do sistema, resgata legalmente os ativos. À primeira vista, parece uma transação normal, mas na prática, a quantidade de ativos obtidos é muito maior do que deveria.

Avaliação do impacto do evento

A ameaça ao FutureSwap

Ataques consecutivos indicam que as correções de segurança do protocolo podem estar incompletas. Após o primeiro ataque, normalmente a equipe realiza auditorias emergenciais e atualizações de patches, mas o segundo ataque foi bem-sucedido, o que sugere:

• A primeira correção pode não ter sido suficiente
• Podem existir outras vulnerabilidades do mesmo tipo
• O mecanismo de cooldown pode precisar de uma reformulação

Risco para os fundos dos usuários

Embora a perda tenha sido “apenas” 7,4 mil dólares, para um protocolo com dúvidas de segurança, isso representa um sério impacto na confiança dos usuários. Os fundos já existentes no protocolo enfrentam não apenas o risco de perda direta, mas também dificuldades de liquidez.

Lições para a indústria

Na minha opinião, este evento revela alguns problemas reais no ecossistema DeFi:

Primeiro, a demora nas auditorias de segurança. Muitos protocolos passam por auditorias antes do lançamento, mas hackers frequentemente encontram brechas não detectadas. A vulnerabilidade de reentrada, embora não seja uma novidade, continua sendo uma arma comum dos atacantes.

Segundo, a pressão por velocidade na correção. Assim que uma vulnerabilidade é descoberta, a equipe precisa realizar correções, auditorias e implantações em um curto espaço de tempo, o que aumenta o risco de falhas.

Terceiro, a responsabilidade da devida diligência dos usuários. Mesmo protocolos auditados podem apresentar riscos, e os usuários devem assumir a responsabilidade por seus fundos.

Resumo

Os ataques consecutivos ao FutureSwap nos lembram que a vulnerabilidade de reentrada ainda representa uma ameaça significativa para protocolos DeFi. Este não é apenas um problema do protocolo, mas uma questão que toda a comunidade deve estar atenta. Para os usuários, é necessário reavaliar a segurança do protocolo e considerar se devem continuar a utilizá-lo; para a indústria, é preciso estabelecer padrões de segurança mais rigorosos e mecanismos de resposta rápida. Atualmente, fica o foco em se o protocolo realizará uma atualização de segurança mais completa e se outros usuários afetados receberão compensações.