Купити криптовалюту
Оплачуйте
USD
Купити та продати
HOT
Купуйте та продавайте криптовалюту через Apple Pay, картки, Google Pay, Банківський переказ тощо
P2P
0 Fees
Нульова комісія, понад 400 способів оплати та зручна купівля й продаж криптовалют
Gate Card
Криптовалютна платіжна картка, що дозволяє здійснювати безперешкодні глобальні транзакції.
Торгівля
Базовий
Спот
Вільно торгуйте криптовалютою
Маржа
Збільшуйте свій прибуток за допомогою кредитного плеча
Конвертація та блокова торгівля
0 Fees
Торгуйте будь-яким обсягом без комісій та прослизань
Токени з кредитним плечем
Отримайте швидкий доступ до позицій кредитного плеча
Премаркет
Торгуйте новими токенами до їх офіційного лістингу
Ф'ючерси
Ф'ючерси
Сотні контрактів розраховані в USDT або BTC
Опціони
HOT
Торгівля ванільними опціонами європейського зразка
Єдиний рахунок
Максимізуйте ефективність вашого капіталу
Демо торгівля
Запуск ф'ючерсів
Підготуйтеся до ф’ючерсної торгівлі
Ф'ючерсні події
Беріть участь у подіях, щоб виграти щедрі винагороди
Демо торгівля
Використовуйте віртуальні кошти для безризикової торгівлі
Earn
Запуск
CandyDrop
Збирайте цукерки, щоб заробити аірдропи
Launchpool
Швидкий стейкінг, заробляйте нові токени
HODLer Airdrop
Утримуйте GT і отримуйте масові аірдропи безкоштовно
Launchpad
Будьте першими в наступному великому проекту токенів
Бали Alpha
NEW
Торгуйте ончейн-активами і насолоджуйтеся аірдроп-винагородами!
Ф'ючерсні бали
NEW
Заробляйте фʼючерсні бали та отримуйте аірдроп-винагороди
Інвестиції
Simple Earn
Заробляйте відсотки за допомогою неактивних токенів
Автоінвестування
Автоматичне інвестування на регулярній основі
Подвійні інвестиції
Купуйте дешево і продавайте дорого, щоб отримати прибуток від коливань цін
Soft Staking
Earn rewards with flexible staking
Криптопозика
0 Fees
Заставте одну криптовалюту, щоб позичити іншу
Центр кредитування
Єдиний центр кредитування
Центр багатства VIP
Індивідуальне управління капіталом сприяє зростанню ваших активів
Управління приватним капіталом
Індивідуальне управління активами для зростання ваших цифрових активів
Квантовий фонд
Найкраща команда з управління активами допоможе вам отримати прибуток без клопоту
Стейкінг
Стейкайте криптовалюту, щоб заробляти на продуктах PoS
Розумне кредитне плече
NEW
Жодної примусової ліквідації до дати погашення — прибуток із плечем без зайвих ризиків
Випуск GUSD
Використовуйте USDT/USDC для випуску GUSD з дохідністю на рівні казначейських облігацій
Більше
Популярні теми
Дізнатися більше10.07K Популярність
29.98K Популярність
4.78K Популярність
21.05K Популярність
118.73K Популярність
Популярні активності Gate Fun
Дізнатися більше- Рин. кап.:$3.72KХолдери:20.50%
- Рин. кап.:$3.62KХолдери:10.00%
- Рин. кап.:$3.61KХолдери:10.00%
- Рин. кап.:$3.6KХолдери:10.00%
- Рин. кап.:$3.6KХолдери:10.00%
Закріпити
7.4 мільйонів доларів США миттєво зникли, наскільки небезпечна повторна уразливість протоколу Arbitrum
FutureSwap на Arbitrum знову зазнав атаки. За останніми даними, блокчейн-компанія безпеки BlockSec Phalcon виявила, що цей протокол ліквідності для майнингу був викрадений приблизно на 74 000 доларів США за допомогою ретельно спланованої двоступеневої схеми. Цього разу мова йде не про звичайну атаку з використанням швидких позик або просту помилку параметрів, а про класичну, але небезпечну уразливість повторного входу (reentrancy). Більше того, це свідчить про тенденцію частих проблем з безпекою у DeFi-екосистемі останнім часом.
Як сталася атака
Уразливість повторного входу звучить складно, але насправді це гра на різниці у часі. Атакуючий використовує “пролом” у процесі виконання смарт-контракту.
Процес FutureSwap виглядає так: користувач вносить активи і отримує LP-токени, потім може їх вивести. Але FutureSwap встановив 3-денний період охолодження, щоб запобігти швидкому входу та виходу. Саме тут зловмисник і знайшов свою точку входу.
Вишуканість двоступеневої схеми
Перший крок: атака повторного входу на етапі створення
Зловмисник під час надання ліквідності використав вразливість у функції 0x5308fcb1. Ключовий момент у тому, що ця функція дозволяє повторний вхід у контракт перед оновленням внутрішніх обліків. Атакуючий, поки контракт ще не зафіксував його реальну кількість внесених активів, вже повторно викликав цю ж функцію. В результаті він створив LP-токени, що значно перевищують фактичний внесок.
Простими словами, він вніс 100 доларів, але через уразливість отримав LP-токени, що відповідають 1000 доларам. Це перший крок у “злочинній схемі” — “захоплення чужого майна без витрат”.
Другий крок: уникнення обмежень при знятті
Але цього було недостатньо. 3-денний період охолодження був створений саме для запобігання подібних ситуацій. Атакуючий почекав 3 дні, а потім виконав зняття. Він знищив незаконно створені LP-токени і отримав реальні активи. В результаті він обміняв фальшиві LP-токени на справжні активи.
Таким чином, він завершив крадіжку: від нічого до чогось, від фальшивого до справжнього.
Чому це так небезпечно
Збитки від цієї атаки склали всього 7.4 мільйони доларів, але проблеми, які вона виявила, набагато глибші:
Уразливість повторного входу — це “класичний кошмар” для DeFi. Ще у 2016 році під час атаки на TheDAO ця уразливість спричинила втрату мільйонів доларів. Минуло десять років, але ця вразливість досі шкодить протоколам.
Перегрів охолодження не є панацеєю. FutureSwap думав, що 3-денний період охолодження зможе запобігти швидкому арбітражу, але він не здатен захистити від атаки повторного входу. Адже зловмисник не входить і виходить швидко у період охолодження, а вже під час створення LP отримує надлишкові токени через уразливість.
Це відображає тенденцію останніх проблем з безпекою у DeFi. Напередодні (13 січня) протокол YO Protocol виявив аномальну операцію обміну на Ethereum: з 384 мільйонів stkGHO було отримано лише 122 000 доларів USDC. Хоча це була помилка у налаштуваннях параметрів, а не уразливість, це все одно свідчить про високий рівень ризиків у DeFi.
Висновки для екосистеми Arbitrum
FutureSwap знову зазнав атаки, що свідчить про існуючі раніше проблеми безпеки. Виявлення уразливості повторного входу — це нагадування для всієї екосистеми Arbitrum:
Підсумки
Хоча збитки FutureSwap були відносно невеликими, вразливість повторного входу, яку вона виявила, є системним ризиком для DeFi. Атакуючий за допомогою двоступеневої схеми спочатку створив надлишкові LP-токени через уразливість, а потім, після періоду охолодження, обміняв фальшиві токени на реальні активи. Це нагадує, що безпека у DeFi ще далека від ідеалу — від помилок у параметрах до технічних уразливостей, ризики всюди. Для користувачів найкращим захистом залишається вибір протоколів із ретельним аудитом.