FutureSwapX sur Arbitrum victime d'une attaque, 395 000 dollars volés, méthode d'attaque dévoilée

Arbitrum chaîne on enregistre à nouveau un incident de sécurité. Selon les dernières informations, BlockSec a détecté une transaction suspecte sur le contrat FutureSwapX, avec une perte d’environ 39,5 millions de dollars US. L’attaquant a réussi à extraire des USDC grâce à une opération soigneusement conçue. Actuellement, BlockSec a tenté de contacter l’équipe du projet, mais n’a pas encore reçu de réponse. Cet incident nous rappelle une fois de plus que, même sur les réseaux de couche 2 d’Ethereum, les contrats DeFi restent exposés à des menaces de sécurité continues.

Analyse des méthodes d’attaque

Selon l’analyse de BlockSec, cette attaque ne repose pas sur une exploitation classique de vulnérabilités, mais est déclenchée par une logique d’interaction particulière :

• L’attaquant a effectué plusieurs opérations changePosition, une fonction généralement utilisée pour ajuster les positions de trading
• Ces opérations ont habilement influencé l’état du solde stable à l’intérieur du contrat
• Finalement, lors de la réduction ou de la clôture de la position, le contrat a incorrectement libéré des fonds USDC
• L’attaquant a ensuite réussi à extraire ces fonds libérés

Ce mode d’attaque indique que le problème ne réside peut-être pas dans la sécurité d’une seule fonction, mais dans une faille dans la gestion de l’état du contrat.

La cause profonde reste à approfondir

L’analyse actuelle de BlockSec est préliminaire. Étant donné que le contrat FutureSwapX n’est pas open source, les chercheurs en sécurité ne peuvent pas auditer directement le code source, mais doivent effectuer une ingénierie inverse à partir des transactions sur la chaîne. Selon les informations disponibles, BlockSec suspecte que le problème pourrait être lié à :

• Une modification inattendue du solde stable lors d’une mise à jour de position initiale
• Ces anomalies ont été déclenchées lors des opérations suivantes sur la position
• Ce qui a finalement conduit à la libération inappropriée de USDC à un moment où il ne devrait pas l’être

Cependant, cela reste une supposition basée sur le comportement on-chain. La cause exacte nécessite la collaboration de l’équipe du projet pour fournir le code source et des explications détaillées.

Enseignements pour l’industrie

Cet incident met en lumière plusieurs problématiques importantes :

Nécessité d’audits de sécurité des contrats : même pour des contrats DeFi relativement simples, une conception logicielle inadéquate peut être exploitée. La mise en open source et l’audit par des tiers devraient être des exigences fondamentales.

Complexité de la gestion d’état : les contrats impliquant plusieurs variables d’état interconnectées présentent souvent des risques de sécurité sous-estimés. La conception de fonctions comme changePosition doit être particulièrement prudente.

Surveillance et réponse d’urgence : la détection rapide par BlockSec montre la valeur d’une surveillance de sécurité on-chain, mais l’absence de réponse de l’équipe du projet indique que les mécanismes d’urgence doivent encore être améliorés.

Conclusion

Bien que l’ampleur du vol sur FutureSwapX (39,5 millions de dollars US) soit relativement limitée, le problème mis en évidence est typique : dans leur quête d’innovation fonctionnelle, les projets DeFi peuvent souvent laisser des vulnérabilités dans les détails de la conception des contrats. Pour les utilisateurs, choisir des projets ayant fait l’objet d’audits approfondis, open source, et avec une équipe réactive reste la clé pour réduire les risques. Pour les équipes de développement, c’est aussi un rappel : la sécurité ne doit pas être une étape après coup, mais doit être intégrée tout au long du processus de développement et de déploiement.