На Arbitrum ставку FutureSwapX атакували, викрадено 395 000 доларів США, метод атаки розкрито

На блокчейні Arbitrum знову сталася безпекова подія. За останніми даними, BlockSec зафіксували підозрілі транзакції з контрактом FutureSwapX, внаслідок чого було втрачено приблизно 39.5 мільйонів доларів США. Зловмисник за допомогою ретельно спланованих дій успішно вивів USDC. Наразі BlockSec намагається зв’язатися з командою проекту, але поки без відповіді. Ця подія знову нагадує нам, що навіть у шарі Ethereum DeFi-контракти стикаються з постійними загрозами безпеки.

Аналіз методів атаки

Згідно з аналізом BlockSec, ця атака не була звичайним використанням вразливості, а активована через спеціальну логіку взаємодії:

• Зловмисник виконав кілька разів операцію changePosition, яка зазвичай використовується для коригування позицій
• За допомогою цих дій він хитро вплинув на внутрішній стан стабільних балансів контракту
• В кінцевому підсумку, під час зменшення або закриття позиції, контракт неправильно звільнив кошти USDC
• Зловмисник успішно вивів ці звільнені кошти

Такий спосіб атаки свідчить про те, що проблема може полягати не у безпеці окремої функції, а у логіці управління станом контракту.

Глибше розслідування причин

Поточний аналіз BlockSec є попереднім. Оскільки контракт FutureSwapX не є відкритим кодом, безпекові дослідники не можуть безпосередньо провести аудит вихідного коду і змушені аналізувати поведінку транзакцій у мережі. За наявною інформацією, BlockSec підозрює, що проблема може бути пов’язана з такими факторами:

• Неочікувані зміни стабільного балансу під час раннього оновлення позицій
• Ці аномальні зміни були активовані під час подальших операцій з позиціями
• В кінцевому підсумку USDC було звільнено у момент, коли цього робити не слід було

Однак це лише припущення на основі поведінки у мережі, і точна причина потребує співпраці з командою проекту для надання вихідного коду та детальних пояснень.

Висновки для галузі

Ця подія виявила кілька важливих проблем:

Необхідність безпекового аудиту контрактів — навіть прості за функціоналом DeFi-контракти можуть бути вразливими через неправильний дизайн логіки. Відкритий код і сторонній аудит мають бути стандартом.

Складність управління станом — контракти, що залучають кілька взаємодіючих змінних стану, мають високий ризик безпеки. Дизайн функцій типу changePosition потребує особливої уваги.

Моніторинг і реагування у надзвичайних ситуаціях — швидке виявлення та реагування, яке демонструє BlockSec, важливі для безпеки мережі, але відсутність відповіді з боку проекту показує, що механізми реагування ще потрібно вдосконалювати.

Висновок

Хоча масштаб крадіжки FutureSwapX скромний (39.5 тисяч доларів США), ця ситуація ілюструє типову проблему: у прагненні до інновацій у функціоналі DeFi часто закладаються ризики у деталях контрактного коду. Для користувачів важливо обирати проєкти з ретельним аудитом, відкритим кодом і швидкою командою підтримки, щоб зменшити ризики. Для команд — це нагадування, що безпека має бути інтегрована у весь процес розробки і розгортання, а не лише після виявлення вразливості.