Futuros
Acesse centenas de contratos perpétuos
TradFi
Ouro
Plataforma única para ativos tradicionais globais
Opções
Hot
Negocie opções vanilla no estilo europeu
Conta unificada
Maximize sua eficiência de capital
Negociação demo
Introdução à negociação de futuros
Prepare-se para sua negociação de futuros
Eventos de futuros
Participe de eventos e ganhe recompensas
Negociação demo
Use fundos virtuais para experimentar negociações sem riscos
Lançamento
CandyDrop
Colete candies para ganhar airdrops
Launchpool
Staking rápido, ganhe novos tokens em potencial
HODLer Airdrop
Possua GT em hold e ganhe airdrops massivos de graça
Launchpad
Chegue cedo para o próximo grande projeto de token
Pontos Alpha
Negocie on-chain e receba airdrops
Pontos de futuros
Ganhe pontos de futuros e colete recompensas em airdrop
Investimento
Simple Earn
Ganhe juros com tokens ociosos
Autoinvestimento
Invista automaticamente regularmente
Investimento duplo
Lucre com a volatilidade do mercado
Soft Staking
Ganhe recompensas com stakings flexíveis
Empréstimo de criptomoedas
0 Fees
Penhore uma criptomoeda para pegar outra emprestado
Centro de empréstimos
Centro de empréstimos integrado
Centro de riqueza VIP
Planos premium de crescimento de patrimônio
Gestão privada de patrimônio
Alocação premium de ativos
Fundo Quantitativo
Estratégias quant de alto nível
Apostar
Faça staking de criptomoedas para ganhar em produtos PoS
Alavancagem Inteligente
New
Alavancagem sem liquidação
Cunhagem de GUSD
Cunhe GUSD para retornos em RWA
Mais
7.4 milhões de dólares evaporaram instantaneamente, quão perigosa é a vulnerabilidade de reentrada neste protocolo Arbitrum
FutureSwap novamente foi alvo de um ataque na Arbitrum. De acordo com as últimas notícias, a empresa de segurança blockchain BlockSec Phalcon detectou que este protocolo de mineração de liquidez foi roubado em cerca de 74.000 dólares através de um processo de duas etapas cuidadosamente planeado. Desta vez, não se tratou de um ataque de flash loan convencional ou de um simples erro de parâmetros, mas de uma vulnerabilidade clássica e perigosa de reentrada. Ainda mais preocupante, isto reflete uma tendência de frequentes problemas de segurança na ecossistema DeFi recentemente.
Como ocorreu o ataque
A vulnerabilidade de reentrada parece complexa, mas na verdade é um jogo de timing. O atacante aproveitou uma “lacuna” na execução do contrato inteligente.
O processo do FutureSwap é assim: o usuário deposita ativos para obter tokens LP, que podem ser posteriormente resgatados. Mas o FutureSwap estabeleceu um período de espera de 3 dias, para evitar entradas e saídas rápidas. Foi aqui que o atacante encontrou a brecha.
A engenhosidade do processo em duas etapas
Primeira etapa: ataque de reentrada na fase de cunhagem
Durante a provisão de liquidez, o atacante explorou uma vulnerabilidade na função 0x5308fcb1. O ponto crucial é que essa função permite reentrar antes de atualizar as contas internas do contrato. O atacante, ao reentrar na mesma função antes que o contrato registre a quantidade real de ativos depositados, conseguiu cunhar tokens LP muito superiores ao valor realmente depositado.
Simplificando, ele depositou 100 unidades, mas por meio da vulnerabilidade de reentrada, obteve tokens LP equivalentes a 1000 unidades. Este é o primeiro passo do “ganhar sem investir”.
Segunda etapa: evitar restrições na fase de retirada
Mas isso não foi suficiente. O período de espera de 3 dias do FutureSwap foi criado justamente para prevenir esse tipo de situação. O atacante aguardou os 3 dias e então executou a retirada. Ele queimou os tokens LP ilegais que cunhou, trocando-os por garantias reais. Como resultado, trocou tokens falsos por ativos legítimos.
Assim, completou-se o roubo: do nada ao real, do virtual ao concreto.
Por que isso é perigoso
Embora o prejuízo desta vez tenha sido de apenas 7,4 mil dólares, o problema por trás é maior:
Vulnerabilidades de reentrada são o “pesadelo clássico” do DeFi. Desde o ataque ao TheDAO em 2016, que causou perdas de milhões de dólares, essa vulnerabilidade continua a prejudicar protocolos. Passaram-se dez anos, e ela ainda persiste.
Período de espera não é uma solução definitiva. O FutureSwap achou que o espera de 3 dias poderia impedir arbitragem rápida, mas não consegue evitar ataques de reentrada. Porque o atacante não entra e sai rapidamente durante o período de espera, mas já consegue obter tokens LP excessivos na fase de cunhagem por meio de reentrada.
Reflexo das recentes questões de segurança no DeFi. No dia anterior (13 de janeiro), o protocolo YO Protocol na Ethereum sofreu uma troca de tokens anormal, com apenas 12,2 mil dólares de USDC obtidos a partir de 3,84 milhões de dólares em stkGHO. Embora tenha sido um erro de configuração de parâmetros e não uma vulnerabilidade, isso também demonstra que os riscos nos protocolos DeFi continuam elevados.
Lições para o ecossistema Arbitrum
O fato de o FutureSwap ter sido “novamente” atacado indica que já tinha problemas de segurança anteriores. A exposição desta vulnerabilidade de reentrada serve como um alerta para todo o ecossistema Arbitrum:
Resumo
Embora o prejuízo do ataque ao FutureSwap tenha sido relativamente pequeno, a vulnerabilidade de reentrada descoberta representa um risco sistêmico para o ecossistema DeFi. O atacante, por meio de um processo em duas etapas, primeiro cunhou tokens LP excessivos por reentrada, e depois, após o período de espera, trocou esses tokens falsos por ativos reais. Isso nos lembra que os problemas de segurança no DeFi ainda estão longe de serem resolvidos, com riscos que vão desde erros de parâmetros até vulnerabilidades técnicas. Para os usuários, optar por protocolos que passaram por auditorias completas continua sendo a proteção mais básica.