FutureSwapX trên Arbitrum bị tấn công, mất 395.000 USD, phương pháp tấn công được tiết lộ

Một sự cố bảo mật khác đã xảy ra trên chuỗi Arbitrum. Theo thông tin mới nhất, BlockSec đã phát hiện hợp đồng FutureSwapX gặp phải giao dịch đáng ngờ, với thiệt hại khoảng 395.000 USD. Những kẻ tấn công đã thành công trong việc trích xuất USDC thông qua các thao tác được thiết kế tinh vi. Hiện tại, BlockSec đã cố gắng liên hệ với đội ngũ dự án nhưng vẫn chưa nhận được phản hồi. Sự kiện này một lần nữa nhắc nhở chúng ta rằng, ngay cả trên mạng lớp 2 của Ethereum, các hợp đồng DeFi cũng phải đối mặt với những mối đe dọa bảo mật liên tục.

Phân tích kỹ thuật tấn công

Theo phân tích của BlockSec, cuộc tấn công này không phải là khai thác lỗ hổng truyền thống, mà được kích hoạt thông qua logic tương tác đặc biệt:

• Những kẻ tấn công đã thực hiện nhiều thao tác changePosition, một hàm thường được sử dụng để điều chỉnh vị thế giao dịch
• Thông qua những thao tác này, họ đã tinh vi ảnh hưởng đến trạng thái số dư ổn định bên trong hợp đồng
• Cuối cùng, khi giảm vị thế hoặc đóng vị thế, hợp đồng đã sai lầm giải phóng quỹ USDC
• Những kẻ tấn công sau đó đã thành công trong việc trích xuất những quỹ được giải phóng này

Phương pháp tấn công này cho thấy rằng, vấn đề có thể không nằm trong tính bảo mật của một hàm riêng lẻ, mà là ở các khiếm khuyết logic trong quản lý trạng thái hợp đồng.

Nguyên nhân gốc rễ vẫn cần được điều tra sâu hơn

Kết luận phân tích hiện tại của BlockSec mới chỉ là sơ bộ. Do hợp đồng FutureSwapX không phải là mã nguồn mở, các nhà nghiên cứu bảo mật không thể kiểm toán trực tiếp mã nguồn, chỉ có thể thực hiện kỹ thuật ngược qua hành vi giao dịch trên chuỗi. Dựa trên thông tin hiện có, BlockSec nghi ngờ vấn đề liên quan đến các yếu tố sau:

• Trong thời gian cập nhật vị thế sớm, số dư ổn định đã xuất hiện những thay đổi không mong muốn
• Những bất thường này đã được kích hoạt trong các thao tác vị thế tiếp theo
• Cuối cùng dẫn đến USDC bị giải phóng vào lúc không nên
• Nhưng đây chỉ là dự đoán dựa trên hành vi trên chuỗi, nguyên nhân gốc rễ thực sự vẫn cần sự hợp tác của đội ngũ dự án để cung cấp mã nguồn và giải thích chi tiết.

Bài học cho ngành

Sự kiện này đã phơi bày một số vấn đề đáng chú ý:

Tính cần thiết của kiểm toán bảo mật hợp đồng Ngay cả những hợp đồng DeFi có chức năng tương đối đơn giản, nếu thiết kế logic không phù hợp, cũng có thể bị khai thác. Mã nguồn mở và chấp nhận kiểm toán bên thứ ba nên là yêu cầu cơ bản.

Độ phức tạp của quản lý trạng thái Những hợp đồng liên quan đến tương tác của nhiều biến trạng thái, rủi ro bảo mật của chúng thường bị đánh giá thấp. Thiết kế các hàm thao tác loại changePosition cần phải đặc biệt thận trọng.

Giám sát và phản ứng ứng phó khẩn cấp Việc phát hiện kịp thời của BlockSec thể hiện giá trị của giám sát bảo mật trên chuỗi, nhưng sự im lặng của đội ngũ dự án cũng cho thấy rằng cơ chế ứng phó khẩn cấp vẫn còn cần hoàn thiện.

Tóm tắt

Mặc dù quy mô sự kiện bị đánh cắp của FutureSwapX tương đối hạn chế (395.000 USD), nhưng phản ánh một vấn đề rất điển hình: Khi theo đuổi đổi mới chức năng, các dự án DeFi thường để lại những bẫy ẩn trong các chi tiết thiết kế hợp đồng. Đối với người dùng, việc lựa chọn các dự án đã được kiểm toán đầy đủ, mã nguồn mở và đội ngũ phản ứng nhanh chóng vẫn là chìa khóa để giảm rủi ro. Đối với đội ngũ dự án, đây cũng là lần nhắc nhở: Bảo mật không phải là biện pháp khắc phục sau sự cố, mà nên xuyên suốt toàn bộ quá trình phát triển và triển khai.