La plateforme décentralisée de trading à effet de levier Futureswap a été exploitée pour la deuxième fois en quatre jours, les hackers ayant cette fois-ci dérobé environ 74 000 dollars.
La société de sécurité blockchain BlockSec Phalcon a révélé la seconde attaque sur X, indiquant que les attaquants avaient exploité une nouvelle vulnérabilité dans le même contrat ciblé quelques jours auparavant. La société de sécurité a précisé que « bien que la perte ne soit pas importante, la partie intéressante est l’apparition d’une nouvelle surface d’attaque : une vulnérabilité de réentrance ».
L’attaquant a utilisé un processus en deux étapes impliquant la période de refroidissement obligatoire de trois jours de Futureswap pour drainer systématiquement les fonds.
Selon Phalcon, la plateforme de détection de menaces de BlockSec, l’attaquant est d’abord ré-entré dans la fonction 0x5308fcb1 avant que le contrat ne mette à jour sa comptabilité interne. Ensuite, « l’attaquant a émis une quantité excessive de jetons LP par rapport aux actifs effectivement déposés ».
Après avoir attendu la fin de la période de refroidissement pour les retraits, l’attaquant a brûlé les jetons émis illicitement afin de récupérer la garantie sous-jacente, siphonnant ainsi les actifs du protocole avec le bénéfice.
Futureswap subit une troisième attaque en un mois
La dernière attaque survient quelques jours après que la plateforme a perdu plus de 395 000 dollars lors d’un exploit détecté par le radar de BlockSec Phalcon. Les attaquants impliqués dans cet exploit ont volé les fonds à travers plusieurs opérations changePosition. Cet incident semblait lié à des changements inattendus dans la comptabilité stableBalance lors des mises à jour de position, ce qui a ensuite permis la libération de USDC lors du retrait de la garantie.
Futureswap a également subi une attaque de gouvernance en décembre 2025 qui a permis aux attaquants de s’emparer d’au moins 830 000 dollars. Lors de cet incident, les hackers ont utilisé un flash loan pour emprunter temporairement des tokens de gouvernance, obtenant ainsi le pouvoir de vote nécessaire pour faire passer une proposition malveillante transférant des fonds depuis le protocole.
Futureswap a jusqu’à présent perdu plus de 1 million de dollars au total à travers trois attaques distinctes ayant exploité différentes vulnérabilités de la plateforme.
Les protocoles DeFi historiques pris pour cible
Les incidents de Futureswap s’inscrivent dans un contexte de plus de 27 millions de dollars perdus au profit de hackers qui continuent de cibler les plateformes DeFi historiques jusqu’en 2026.
D’autres protocoles basés sur Arbitrum ont connu des sorts similaires ces dernières semaines. Début janvier, USDGambit et TLP ont perdu 1,5 million de dollars quand des attaquants ont obtenu un accès administrateur et déployé des contrats intelligents malveillants. TMX Tribe a subi un exploit de 1,4 million de dollars, tandis que le coffre-fort IPOR Fusion USDC a perdu 336 000 dollars via une vulnérabilité d’un contrat historique, bien qu’il se soit engagé à rembourser intégralement les utilisateurs affectés.
Malgré les failles de sécurité ayant frappé des protocoles basés sur Arbitrum, la blockchain de couche 2 détient encore plus de 3,1 milliards de dollars en valeur totale bloquée dans la DeFi, ce qui, selon certains analystes, contribuerait à en faire une cible attrayante pour les attaquants.
Le réseau est resté en tête des solutions Ethereum Layer-2 en termes de valeur totale bloquée depuis son lancement en 2021.
Que se passe-t-il chez Futureswap ?
Aucun membre de l’équipe Futureswap n’a publié de déclaration concernant les exploits. La dernière publication sur le compte X de la plateforme remonte à 2023, et il semblerait que le protocole ait été audité pour la dernière fois en 2021.
Ce cas soulève des questions délicates sur la responsabilité lorsque des protocoles sont abandonnés mais continuent de détenir des fonds d’utilisateurs. Les experts en sécurité recommandent que les équipes désactivent et clôturent correctement les contrats historiques ou procèdent à de nouveaux audits de sécurité et à la vérification du code source.
Parallèlement, les utilisateurs sont invités à retirer leurs actifs des anciens contrats présentant des signes d’abandon.
Les esprits les plus brillants de la crypto lisent déjà notre newsletter. Vous souhaitez en faire partie ? Rejoignez-les.
