Básico
Negociação à Vista
Negoceie criptomoedas livremente
Margem
Aumente o seu lucro com a alavancagem
Converter e investir automaticamente
0 Fees
Opere qualquer volume sem tarifas nem derrapagem
ETF
Obtenha exposição a posições alavancadas de uma forma simples
Negociação Pré-Mercado
Negoceie novos tokens pré-listagem
Futuros
Centenas de contratos liquidados em USDT ou BTC
TradFi
Ouro
Negoceie ativos tradicionais globais com USDT num único local
Opções
Hot
Negoceie Opções Vanilla ao estilo europeu
Conta Unificada
Maximize a eficiência do seu capital
Negociação de demonstração
Arranque dos futuros
Prepare-se para a sua negociação de futuros
Eventos de futuros
Participe em eventos para ganhar recompensas generosas
Negociação de demonstração
Utilize fundos virtuais para experimentar uma negociação sem riscos
Lançamento
CandyDrop
Recolher doces para ganhar airdrops
Launchpool
Faça staking rapidamente, ganhe potenciais novos tokens
HODLer Airdrop
Detenha GT e obtenha airdrops maciços de graça
Launchpad
Chegue cedo ao próximo grande projeto de tokens
Pontos Alpha
Negoceie ativos on-chain e desfrute de recompensas de airdrop!
Pontos de futuros
Ganhe pontos de futuros e receba recompensas de airdrop
Investimento
Simple Earn
Ganhe juros com tokens inativos
Investimento automático
Invista automaticamente de forma regular.
Investimento Duplo
Compre na baixa e venda na alta para obter lucros com as flutuações de preços
Soft Staking
Ganhe recompensas com staking flexível
Empréstimo de criptomoedas
0 Fees
Dê em garantia uma criptomoeda para pedir outra emprestada
Centro de empréstimos
Centro de empréstimos integrado
Centro de Património VIP
A gestão personalizada do património potencia o crescimento dos seus ativos
Gestão de património privado
Gestão de ativos personalizada para aumentar os seus ativos digitais
Fundo Quant
A melhor equipa de gestão de ativos ajuda-o a lucrar sem complicações
Staking
Faça staking de criptomoedas para ganhar em produtos PoS
Alavancagem inteligente
New
Sem liquidação forçada antes do vencimento, ganhos alavancados sem preocupações
Cunhagem de GUSD
Utilize USDT/USDC para cunhar GUSD y obter rendimentos ao nível do Tesouro
7.4 milhões de dólares evaporaram instantaneamente, quão perigosa é a vulnerabilidade de reentrada neste protocolo Arbitrum
FutureSwap novamente foi alvo de um ataque na Arbitrum. De acordo com as últimas notícias, a empresa de segurança blockchain BlockSec Phalcon detectou que este protocolo de mineração de liquidez foi roubado em cerca de 74.000 dólares através de um processo de duas etapas cuidadosamente planeado. Desta vez, não se tratou de um ataque de flash loan convencional ou de um simples erro de parâmetros, mas de uma vulnerabilidade clássica e perigosa de reentrada. Ainda mais preocupante, isto reflete uma tendência de frequentes problemas de segurança na ecossistema DeFi recentemente.
Como ocorreu o ataque
A vulnerabilidade de reentrada parece complexa, mas na verdade é um jogo de timing. O atacante aproveitou uma “lacuna” na execução do contrato inteligente.
O processo do FutureSwap é assim: o usuário deposita ativos para obter tokens LP, que podem ser posteriormente resgatados. Mas o FutureSwap estabeleceu um período de espera de 3 dias, para evitar entradas e saídas rápidas. Foi aqui que o atacante encontrou a brecha.
A engenhosidade do processo em duas etapas
Primeira etapa: ataque de reentrada na fase de cunhagem
Durante a provisão de liquidez, o atacante explorou uma vulnerabilidade na função 0x5308fcb1. O ponto crucial é que essa função permite reentrar antes de atualizar as contas internas do contrato. O atacante, ao reentrar na mesma função antes que o contrato registre a quantidade real de ativos depositados, conseguiu cunhar tokens LP muito superiores ao valor realmente depositado.
Simplificando, ele depositou 100 unidades, mas por meio da vulnerabilidade de reentrada, obteve tokens LP equivalentes a 1000 unidades. Este é o primeiro passo do “ganhar sem investir”.
Segunda etapa: evitar restrições na fase de retirada
Mas isso não foi suficiente. O período de espera de 3 dias do FutureSwap foi criado justamente para prevenir esse tipo de situação. O atacante aguardou os 3 dias e então executou a retirada. Ele queimou os tokens LP ilegais que cunhou, trocando-os por garantias reais. Como resultado, trocou tokens falsos por ativos legítimos.
Assim, completou-se o roubo: do nada ao real, do virtual ao concreto.
Por que isso é perigoso
Embora o prejuízo desta vez tenha sido de apenas 7,4 mil dólares, o problema por trás é maior:
Vulnerabilidades de reentrada são o “pesadelo clássico” do DeFi. Desde o ataque ao TheDAO em 2016, que causou perdas de milhões de dólares, essa vulnerabilidade continua a prejudicar protocolos. Passaram-se dez anos, e ela ainda persiste.
Período de espera não é uma solução definitiva. O FutureSwap achou que o espera de 3 dias poderia impedir arbitragem rápida, mas não consegue evitar ataques de reentrada. Porque o atacante não entra e sai rapidamente durante o período de espera, mas já consegue obter tokens LP excessivos na fase de cunhagem por meio de reentrada.
Reflexo das recentes questões de segurança no DeFi. No dia anterior (13 de janeiro), o protocolo YO Protocol na Ethereum sofreu uma troca de tokens anormal, com apenas 12,2 mil dólares de USDC obtidos a partir de 3,84 milhões de dólares em stkGHO. Embora tenha sido um erro de configuração de parâmetros e não uma vulnerabilidade, isso também demonstra que os riscos nos protocolos DeFi continuam elevados.
Lições para o ecossistema Arbitrum
O fato de o FutureSwap ter sido “novamente” atacado indica que já tinha problemas de segurança anteriores. A exposição desta vulnerabilidade de reentrada serve como um alerta para todo o ecossistema Arbitrum:
Resumo
Embora o prejuízo do ataque ao FutureSwap tenha sido relativamente pequeno, a vulnerabilidade de reentrada descoberta representa um risco sistêmico para o ecossistema DeFi. O atacante, por meio de um processo em duas etapas, primeiro cunhou tokens LP excessivos por reentrada, e depois, após o período de espera, trocou esses tokens falsos por ativos reais. Isso nos lembra que os problemas de segurança no DeFi ainda estão longe de serem resolvidos, com riscos que vão desde erros de parâmetros até vulnerabilidades técnicas. Para os usuários, optar por protocolos que passaram por auditorias completas continua sendo a proteção mais básica.