Nền tảng giao dịch đòn bẩy phi tập trung Futureswap đã bị khai thác lần thứ hai trong bốn ngày, với kẻ tấn công đã lấy cắp khoảng 74.000 đô la lần này.
Công ty an ninh blockchain BlockSec Phalcon đã tiết lộ cuộc tấn công thứ hai trên X, cho biết những kẻ tấn công đã khai thác một lỗ hổng mới trong cùng một hợp đồng mà chúng đã nhắm đến chỉ vài ngày trước đó. Công ty an ninh cho biết: “Dù tổn thất không lớn, nhưng điểm đáng chú ý là xuất hiện một bề mặt tấn công mới: lỗ hổng tái nhập reentrancy.”
Kẻ tấn công đã sử dụng quy trình hai bước liên quan đến thời gian chờ bắt buộc ba ngày của Futureswap để rút tiền một cách có hệ thống.
Theo Phalcon, nền tảng phát hiện mối đe dọa của BlockSec, kẻ tấn công đã tái nhập hàm 0x5308fcb1 trước khi hợp đồng cập nhật dữ liệu nội bộ. Sau đó, “kẻ tấn công đã mint một lượng lớn token LP so với tài sản thực tế đã nạp vào.”
Sau khi chờ hết thời gian cooldown rút tiền, kẻ tấn công đã đốt các token được mint bất hợp pháp để đổi lấy tài sản thế chấp bên dưới, qua đó rút tài sản từ giao thức cùng với lợi nhuận.
Futureswap bị hack lần thứ ba trong vòng một tháng
Cuộc tấn công mới nhất xảy ra chỉ vài ngày sau khi nền tảng này mất hơn 395.000 đô la do một vụ khai thác đã được BlockSec Phalcon phát hiện. Những kẻ tấn công tham gia vụ việc đó đã đánh cắp tiền thông qua nhiều thao tác changePosition. Sự cố này dường như liên quan đến các thay đổi bất ngờ trong việc tính toán stableBalance khi cập nhật vị thế, sau đó cho phép USDC được giải phóng khi rút tài sản thế chấp.
Futureswap cũng từng chịu một cuộc tấn công quản trị vào tháng 12 năm 2025 khiến kẻ tấn công thu về ít nhất 830.000 đô la. Trong sự cố đó, hacker đã sử dụng flash loan để vay tạm thời token quản trị, từ đó có quyền biểu quyết để thông qua một đề xuất độc hại chuyển tiền từ giao thức.
Tính đến nay, Futureswap đã mất tổng cộng hơn 1 triệu đô la qua ba cuộc tấn công riêng biệt khai thác các lỗ hổng khác nhau trên nền tảng.
Các giao thức DeFi lâu đời đang bị tấn công
Những sự cố với Futureswap là một phần trong hơn 27 triệu đô la bị hacker đánh cắp khi tiếp tục nhắm vào các nền tảng DeFi lâu đời cho đến năm 2026.
Các giao thức khác dựa trên Arbitrum cũng gặp tình cảnh tương tự trong vài tuần gần đây. Đầu tháng 1, USDGambit và TLP bị mất 1,5 triệu đô la khi kẻ tấn công chiếm quyền quản trị và triển khai các hợp đồng thông minh độc hại. TMX Tribe bị khai thác 1,4 triệu đô la, trong khi vault IPOR Fusion USDC mất 336.000 đô la do lỗ hổng hợp đồng cũ, dù đã cam kết hoàn trả đầy đủ cho người dùng bị ảnh hưởng.
Mặc dù các lỗ hổng bảo mật đã tác động đến các giao thức dựa trên Arbitrum, blockchain layer-2 này vẫn nắm giữ hơn 3,1 tỷ đô la tổng giá trị bị khóa trong DeFi, điều mà một số nhà phân tích cho rằng chính là lý do khiến nó trở thành mục tiêu hấp dẫn cho kẻ tấn công.
Mạng lưới này vẫn giữ vị trí hàng đầu trong số các giải pháp Ethereum Layer-2 về tổng giá trị bị khóa kể từ khi ra mắt vào năm 2021.
Chuyện gì đang diễn ra với đội ngũ Futureswap?
Không ai trong đội ngũ Futureswap lên tiếng về các vụ khai thác. Bài đăng gần nhất trên tài khoản X của nền tảng này đã từ năm 2023 và giao thức được cho là lần cuối cùng kiểm toán vào năm 2021.
Vụ việc đặt ra những câu hỏi khó về trách nhiệm khi các giao thức bị bỏ rơi nhưng vẫn lưu giữ tiền của người dùng. Các chuyên gia bảo mật khuyến nghị đội ngũ nên dừng và loại bỏ hợp đồng cũ một cách hợp lý, hoặc tiến hành kiểm toán bảo mật mới và xác minh mã nguồn.
Trong khi đó, người dùng được khuyên nên rút tài sản khỏi các hợp đồng cũ có dấu hiệu bị bỏ rơi.
Những người am hiểu crypto nhất đã đọc bản tin của chúng tôi. Bạn muốn tham gia chứ? Hãy gia nhập cùng họ.
