Компания BlockSec Phalcon уведомила о подозрительной транзакции в сети Arbitrum, в ходе которой пострадал контракт платформы Futureswap. По оценкам мониторинга, в результате инцидента было похищено порядка $395 тыс., а значительная часть средств оказалась в стабильной монете USDC. BlockSec опубликовала сообщение в своём официальном аккаунте и попыталась связаться с разработчиками платформы, однако ответа не получила.
Обнаружение атаки на Futureswap
Система мониторинга BlockSec Phalcon зафиксировала серию необычных операций, направленных на контракт Futureswap в сети Arbitrum. Анализ транзакций показал, что злоумышленник целенаправленно взаимодействовал с контрактом, что привело к выводу значительной суммы в USDC. По предварительной оценке, суммарные потери составили примерно $395 тыс.
Механизм атаки
По данным сообщения, атакующий использовал функцию changePosition для поэтапного изменения параметров позиции внутри контракта. Последовательные операции позволили корректировать внутренние показатели и перераспределять средства в пределах контракта, а затем вывести их в стабильной монете USDC. В предоставленной информации подчёркивается, что эти наблюдения предварительные и не дают окончательных выводов без дополнительной проверки кода.
Причины и расследование
Представители BlockSec отметили, что смарт‑контракт платформы не является открытым, поэтому полноценный анализ исходного кода пока невозможен. Эксперты также указали на возможную роль изменений в учёте показателя stableBalance: такие изменения могли происходить при предыдущих операциях с позициями и создать условия для высвобождения средств при удалении обеспечения. Расследование продолжается, и окончательные выводы будут сделаны после дополнительной проверки.
Для дополнительного контекста читателям может быть полезен обзор других инцидентов, связанных с эксплойтами в экосистеме Arbitrum — эксплойт на Arbitrum рассматривает похожие вопросы анализа контрактов и уязвимостей.
Реакция и последствия
BlockSec заявила о попытке связаться с разработчиками Futureswap, однако официальных комментариев от команды проекта на момент публикации не поступало. Также не сообщалось о мерах по блокировке операций или устранению последствий; доступная информация остаётся предварительной. Дополнительные детали и итоговые выводы будут опубликованы после завершения расследования.
Если хотите увидеть другие примеры вывода средств через сложные цепочки DeFi, обратите внимание на разбор случаев с крупными инцидентами — пример вывода средств через DeFi иллюстрирует механики перемещения активов после компрометации.
Почему это важно
Для майнера с небольшим пулом оборудования прямое влияние этого инцидента на добычу криптовалют вряд ли заметно, но событие подчёркивает риск работы с децентрализованными инструментами. Если вы используете платформы DeFi для хеджирования, торговли или управления доходами от майнинга, уязвимость в контракте контрагента может привести к потере средств вне зависимости от того, сколько у вас устройств. При этом закрытый исходный код контракта осложняет проверку безопасности и ускоряет неопределённость в случае инцидента.
Что делать?
- Проверьте, взаимодействовали ли вы с Futureswap или похожими контрактами; если да, зафиксируйте адреса и следите за официальными обновлениями проекта.
- Не переводите дополнительные средства в контракты с закрытым исходным кодом и избегайте операций, которые вы не можете подтвердить через независимый аудит.
- Мониторьте официальные каналы BlockSec и разработчиков платформы и при появлении инструкции действуйте согласно их рекомендациям.
- Рассмотрите перевод ликвидных средств в проверенные хранилища (аппаратные кошельки или кошельки с надёжной защитой) до прояснения ситуации.
- Регулярно обновляйте процедуры безопасности: проверяйте адреса, используйте двухфакторную аутентификацию и следите за необычными транзакциями на своих кошельках.
