BlockSec : Le protocole FutureSwap sur Arbitrum victime d'une nouvelle attaque, une vulnérabilité de réentrée entraînant une perte de 74 000 dollars

Foresight News, selon la surveillance de BlockSec Phalcon, le contrat Futureswap sur Arbitrum a de nouveau été victime d’une attaque, avec une perte estimée à environ 74 000 dollars. Bien que la perte ne soit pas importante, il est à noter que cette attaque a révélé une nouvelle surface d’attaque : la vulnérabilité de réentrée. L’attaquant a volé des fonds du protocole via un processus en deux étapes comprenant un délai de refroidissement de trois jours. La première étape est la phase de frappe, où l’attaquant, lors du processus de fourniture de liquidités, a exploité la vulnérabilité de réentrée en réentrant dans la fonction 0x5308fcb1 avant la mise à jour des comptes internes du contrat, créant ainsi une grande quantité de jetons LP par rapport aux actifs réellement déposés. La deuxième étape est la phase de retrait, où l’attaquant, après avoir attendu le délai de refroidissement obligatoire de trois jours, a effectué un retrait, brûlant les LP illégalement frappés pour échanger contre la garantie sous-jacente, ce qui lui a permis de voler des actifs du protocole et de réaliser un profit.