Уязвимость повторного входа не исправлена, FutureSwap подвергся последовательным атакам, потеряв 74 000 долларов США

Развернутый на Arbitrum протокол FutureSwap за короткие четыре дня столкнулся с двумя хакерскими атаками. Согласно анализу блокчейн-кибербезопасности BlockSec, после первой атаки 10 января, 11 января протокол снова стал целью, в результате чего было потеряно примерно 7,4 тысячи долларов США. Более тревожно то, что обе атаки использовали один и тот же уязвимый повторный вызов, что указывает на то, что меры по устранению последствий первой атаки, возможно, не полностью решили основную проблему.

Анализ методов атаки

Принцип уязвимости

Уязвимость повторного вызова — одна из самых распространенных и опасных угроз безопасности в DeFi-протоколах. В случае FutureSwap уязвимость возникла в функции повторного вызова 0x5308fcb1. Атакующий использовал этот входной пункт, эксплуатируя логический дефект в процессе взаимодействия с протоколом.

Конкретные шаги атаки

• Вызов функции повторного вызова 0x5308fcb1 для инициирования исключительного вызова
• Повторный вызов функции в процессе выполнения контракта, обходя проверку баланса
• Перекредитование LP-токенов (токенов поставщика ликвидности) сверх допустимого
• Ожидание окончания периода охлаждения и последующий выкуп избыточных залоговых активов
• Получение прибыли

Ключ к такому виду атаки — временной промежуток: злоумышленник накапливает фиктивные позиции LP в течение периода охлаждения, а затем, после разблокировки системы, законно выкупает активы. На первый взгляд это выглядит как обычная транзакция, но фактически количество полученных активов значительно превышает ожидаемое.

Оценка воздействия инцидента

Угрозы для FutureSwap

Последовательные атаки свидетельствуют о возможных проблемах с безопасностью протокола. После первой атаки проект обычно проводит срочный аудит и обновление патчей, однако вторая атака все равно удалась, что указывает на то, что:

• Первое исправление могло быть неполным
• Возможно, существуют другие уязвимости аналогичного типа
• Механизм периода охлаждения требует переработки

Риски для пользовательских средств

Хотя потери в этот раз составили “всего” 7,4 тысячи долларов, для протокола с сомнительной безопасностью это серьезный удар по доверию пользователей. Средства, уже находящиеся в протоколе, подвергаются не только риску прямых потерь, но и риску ликвидности.

Выводы для индустрии

С точки зрения личного мнения, этот инцидент выявил несколько актуальных проблем в экосистеме DeFi:

Первое — задержки в проведении аудитов безопасности. Многие протоколы проходят аудит перед запуском, но хакеры зачастую находят пробелы, которые были пропущены. Уязвимость повторного вызова, хоть и не новая, остается “частым оружием” злоумышленников.

Второе — давление на скорость исправлений. После обнаружения уязвимости команда должна в кратчайшие сроки провести исправление, аудит и развертывание обновлений, что в условиях высокого стресса легко приводит к ошибкам.

Третье — ответственность пользователей за собственную безопасность. Даже протоколы с аудитами могут иметь риски, и пользователи должны самостоятельно нести ответственность за свои средства.

Итоги

Последовательные атаки на FutureSwap показывают, что уязвимость повторного вызова остается серьезной угрозой для DeFi-протоколов. Это проблема не только данного протокола, но и всей экосистемы в целом. Пользователям стоит переоценить безопасность этого протокола и подумать о целесообразности дальнейшего использования; индустрии — внедрять более строгие стандарты безопасности и более быстрые механизмы реагирования. В настоящее время важно следить за тем, проведет ли протокол более глубокие обновления безопасности и есть ли пострадавшие пользователи, которым потребуется компенсация.