Futureswap漏洞导致Arbitrum上的USDC被盗走$395K

Arbitrum，作为以太坊的L2扩展解决方案，最近遭遇了一次惊人的漏洞攻击。在此事件中，攻击者从Arbitrum中提取了总计$395K ，同时针对Futureswap智能合约进行了攻击。根据BlockSec Phalcon的数据，攻击者执行了一系列多样的操作，包括$USDC 转账和闪电贷。因此，此次漏洞引发了用户对未来可能损失的担忧。

警报！我们的系统在数小时前检测到一笔针对#Arbitrum上@futureswapx合约的可疑交易，估计损失约为$395K。我们已尝试联系团队，但尚未收到回复。攻击者似乎已成功提取…… pic.twitter.com/YPf4vYEqIJ

— BlockSec Phalcon (@Phalcon_xyz) 2026年1月10日

Arbitrum Futureswap漏洞通过闪电贷窃取$395K 美元

根据链上数据，累计有$395,000美元通过针对其Futureswap智能合约的漏洞被转出Arbitrum。特别是，此次事件涉及一系列复杂的操作，如$USDC 交易和闪电贷。此外，漏洞似乎利用了多次“changePosition”调用，最终使攻击者能够提取一笔可观的$USDC 金额。

转账轨迹始于攻击者的“flashLoanSimple”调用，向Aave的Pool V3请求了500B $USDC 单位。这触发了一系列通过“FlashLoanLogic”和“L2PoolInstance”的委托调用，从而将资金转移到攻击者的合约中。随后，攻击者执行了“executeOperation”调用，获得了$USDC 贷款，以及近2.5亿单位的溢价。据报道，此次漏洞源于在之前的仓位更新过程中“stableBalance”核算出现的意外变动。

事件凸显了加强DeFi保护和透明度的必要性

根据BlockSec Phalcon的说法，此次漏洞可能允许攻击者绕过抵押限制，同时在移除仓位时提取$USDC 。目前，Futureswap团队预计将发布公开声明以应对此次事件。这一事件强调了在DeFi平台中实施严格会计保护和透明合约基础设施的重要性。总体而言，相关调查正在进行中，以制定可能的补救措施。