FutureSwapX di Arbitrum diserang, $395.000 dicuri, metode serangan terungkap

Terjadi insiden keamanan lagi di chain Arbitrum. Berdasarkan berita terbaru, BlockSec mendeteksi transaksi mencurigakan pada kontrak FutureSwapX dengan kerugian sekitar $395,000. Penyerang berhasil mengekstrak USDC melalui operasi yang dirancang dengan cermat, dan saat ini BlockSec telah mencoba menghubungi tim proyek tetapi belum mendapat respons. Insiden ini sekali lagi mengingatkan kita bahwa bahkan di jaringan Layer 2 Ethereum, kontrak DeFi menghadapi ancaman keamanan yang berkelanjutan.

Analisis Metode Serangan

Berdasarkan analisis BlockSec, serangan kali ini bukan merupakan eksploitasi kerentanan tradisional, melainkan dipicu melalui logika interaksi khusus:

• Penyerang menjalankan beberapa operasi changePosition, fungsi yang biasanya digunakan untuk menyesuaikan posisi perdagangan
• Melalui operasi-operasi ini, mereka berdampak pada keadaan saldo stabil internal kontrak
• Akhirnya saat menutup atau meluruhkan posisi, kontrak secara keliru merilis dana USDC
• Penyerang kemudian berhasil mengekstrak dana yang dirilis ini

Metode serangan ini menunjukkan bahwa masalahnya mungkin tidak terletak pada keamanan fungsi individual, melainkan pada cacat logika dalam manajemen status kontrak.

Penyebab Akar Masih Perlu Diselidiki

Kesimpulan analisis BlockSec saat ini masih bersifat awal. Karena kontrak FutureSwapX bukan open source, peneliti keamanan tidak dapat langsung mengaudit kode sumber dan hanya dapat melakukan reverse engineering melalui perilaku transaksi on-chain. Berdasarkan informasi yang tersedia, BlockSec menduga masalahnya terkait dengan faktor-faktor berikut:

• Selama pembaruan posisi awal, terjadi perubahan tak terduga pada saldo stabil
• Perubahan abnormal ini dipicu dalam operasi posisi berikutnya
• Akhirnya menyebabkan USDC dirilis pada saat yang tidak seharusnya

Namun ini hanya spekulasi berdasarkan perilaku on-chain, penyebab akar sebenarnya masih memerlukan kerja sama tim proyek untuk memberikan kode sumber dan penjelasan terperinci.

Pembelajaran dari Industri

Insiden ini mengungkapkan beberapa masalah yang patut diperhatikan:

Keharusan Audit Keamanan Kontrak Bahkan untuk kontrak DeFi dengan fungsi yang relatif sederhana, jika desain logika tidak tepat, dapat dimanfaatkan. Open source dan menerima audit pihak ketiga seharusnya menjadi persyaratan dasar.

Kompleksitas Manajemen Status Kontrak yang melibatkan interaksi berbagai variabel status, risiko keamanannya sering kali diremehkan. Desain fungsi operasi seperti changePosition memerlukan perhatian khusus.

Pemantauan dan Respons Darurat Deteksi tepat waktu BlockSec menunjukkan nilai pemantauan keamanan on-chain, namun ketidakresponsian tim proyek juga menunjukkan bahwa mekanisme respons darurat masih perlu disempurnakan.

Kesimpulan

Meski insiden pencurian FutureSwapX skala relatifnya terbatas ($395,000), masalah yang direfleksikannya sangat tipikal: proyek DeFi dalam mengejar inovasi fungsional, sering kali menyisakan jebakan dalam detail desain kontrak. Bagi pengguna, memilih proyek yang telah diaudit secara menyeluruh, kode bersifat open source, dan tim responsif dengan cepat tetap menjadi kunci untuk mengurangi risiko. Bagi tim proyek, ini juga merupakan pengingat: keamanan bukanlah perbaikan pasca peristiwa, tetapi harus terintegrasi dalam seluruh proses pengembangan dan deployment.