На Arbitrum произошла атака на FutureSwapX, украдено 395 000 долларов США, раскрыты методы атаки

На блокчейне Arbitrum снова произошёл инцидент безопасности. Согласно последним сообщениям, BlockSec обнаружила подозрительную активность с контрактом FutureSwapX, в результате которой было потеряно примерно 39,5 тысяч долларов США. Атакующий успешно вывел USDC с помощью тщательно спланированных операций. В настоящее время BlockSec пытается связаться с командой проекта, но ответа пока не получено. Этот инцидент вновь напоминает нам, что даже на втором уровне Ethereum DeFi-контракты продолжают сталкиваться с постоянными угрозами безопасности.

Анализ методов атаки

Согласно анализу BlockSec, эта атака не является классической эксплуатацией уязвимостей, а была вызвана специальной логикой взаимодействия:

• Атакующий выполнил несколько операций changePosition, которая обычно используется для корректировки торговых позиций
• Эти операции хитро влияли на внутренний баланс контракта
• В итоге при уменьшении или закрытии позиции контракт ошибочно высвободил средства USDC
• После этого злоумышленник успешно вывел эти высвобожденные средства

Этот способ атаки показывает, что проблема, скорее всего, кроется не в отдельной функции, а в логике управления состоянием контракта.

Основные причины требуют дальнейшего изучения

На данный момент выводы BlockSec являются предварительными. Поскольку контракт FutureSwapX не является открытым исходным кодом, специалисты по безопасности не могут напрямую провести аудит кода и вынуждены использовать обратное проектирование на основе транзакций в блокчейне. Исходя из имеющейся информации, BlockSec подозревает, что проблема связана со следующими факторами:

• В процессе обновления ранних позиций произошло неожиданное изменение баланса
• Эти аномальные изменения были вызваны последующими операциями с позициями
• В конечном итоге USDC был высвобожден в момент, когда этого делать не следовало

Однако это лишь предположения, основанные на поведении в блокчейне; точная причина требует сотрудничества с командой проекта и предоставления исходного кода и подробных объяснений.

Важные уроки для индустрии

Этот инцидент выявил несколько важных вопросов:

Необходимость аудита безопасности контрактов — даже относительно простые DeFi-контракты могут быть уязвимы при неправильной логике. Открытый исходный код и сторонний аудит должны быть обязательными требованиями.

Сложность управления состоянием — контракты, в которых взаимодействуют несколько переменных состояния, часто недооценивают риски. Проектирование функций вроде changePosition требует особой осторожности.

Мониторинг и реагирование на инциденты — своевременное обнаружение угроз, как у BlockSec, показывает ценность систем безопасности в реальном времени, однако отсутствие реакции со стороны проекта подчеркивает необходимость улучшения механизмов реагирования.

Итоги

Несмотря на то, что масштаб кражи с FutureSwapX относительно невелик (39,5 тысяч долларов США), проблема носит типичный характер: в погоне за функциональностью DeFi-проекты зачастую оставляют уязвимости в деталях контрактов. Для пользователей важно выбирать проекты с тщательным аудитом, открытым исходным кодом и быстрым реагированием команды, чтобы снизить риски. Для команд проектов это служит напоминанием: безопасность — это не только исправление после инцидента, а постоянный процесс, проходящий через весь цикл разработки и развертывания.