Kitas Arbitrum protokolas, kurį nukentėjo „Exploit“.
Atrodo, kad „Arbitrum“ decentralizuota prekybos svertu platforma „Futureswap“ prarado apie 395 000 USD dėl to, ką saugumo tyrinėtojai vadina įtariamu išnaudojimu. Incidentą aptiko blokų grandinės saugos įmonės „BlockSec“ grėsmių aptikimo platforma „Phalcon“, kuri pastebėjo įtartinus sandorius, nukreiptus į protokolo sutartį.
Remiantis „BlockSec“ analize, užpuolikas išnaudojo lėšas atlikdamas kelias „ChangePosition“ operacijas ir galiausiai atsiėmė didelę USDC sumą. Nerimą kelia tai, kad sutartis nėra atvirojo kodo, todėl tikslią pagrindinę priežastį nustatyti sunkiau. Apsaugos įmonė paminėjo, kad bandė susisiekti su Futureswap komanda, tačiau pranešimo metu negavo jokio atsakymo. Žvelgiant į projekto buvimą socialinėje žiniasklaidoje, jų X paskyra nebuvo paskelbta nuo 2022 m., o tai galbūt rodo, kad projektas nebuvo aktyviai prižiūrimas.
Atsiranda nerimą keliantis modelis
Tai nėra pavienis incidentas, susijęs su Arbitrum pagrindu veikiančiais protokolais 2026 m. pradžioje. Tiesą sakant, tai jau trečias didelis tinklo išnaudojimas per pirmąsias dešimt metų dienų. Anksčiau šį mėnesį du kiti Arbitrum projektai – USD Gambit ir TLP – prarado apie 1,5 mln. Tie pažeidimai įvyko, kai užpuolikas gavo administratoriaus prieigą ir teisėtas sutartis pakeitė kenkėjiškomis versijomis.
Saugumo tyrinėtojai šiose atakose pastebėjo kai ką įdomaus. Atrodo, kad jie laikosi modelio, siejamo su Šiaurės Korėjos valstybės remiamais įsilaužėliais. Šios grupės paprastai naudoja maišytuvus, tokius kaip „Tornado Cash“, kad išplautų pavogtas lėšas, be to, joms pavyko greitai apsikeisti ir sumaišyti turtą beveik iškart po išnaudojimo. Dėl to sunkiau sekti lėšas arba įgyvendinti adresų įtraukimą į juodąjį sąrašą.
Kodėl Arbitrum yra tikslingas
Gali būti keletas priežasčių, kodėl Arbitrum protokolai sulaukia tiek daug išnaudotojų dėmesio. Remiantis Defillama duomenimis, tinkle yra daugiau nei 3 milijardai JAV dolerių įvairiuose DeFi protokoluose. Tai yra daug likvidumo, o užpuolikai natūraliai traukia į ekosistemas, kur gali maksimaliai padidinti savo potencialą.
Kitas modelis, kurį pastebėjau, yra tai, kad daugelis šių naujausių įsilaužimų yra skirti senesnėms išmaniosioms sutartims, kurios vis dar turi likvidumą. Tai gali būti projektai, kurie buvo pradėti per ankstesnes bulių rinkas, bet nepalaikė aktyvios plėtros ar saugumo priežiūros. JAV dolerių, pavyzdžiui, „Gambit“ artimiausiomis savaitėmis buvo palaipsniui nutrauktas, nepaisant to, kad jis buvo paleistas 2023 m.
Platesnis saugumo peizažas
Verta paminėti, kad 2025 m. liepos mėn. Arbitrum fondas iš tikrųjų išleido 14 milijonų JAV dolerių karo skrynią per savo audito programą. Idėja buvo subsidijuoti išmaniųjų sutarčių auditą vietiniams projektams. Tačiau galbūt laiko ar įgyvendinimo nepakako, kad būtų išvengta šių pastarųjų incidentų.
Tuo tarpu ketvirtąjį 2025 m. ketvirtį „Tornado Cash“ įnašai išaugo, o maišytuvas dabar turi rekordinę vertę, apsaugotą nuo naujų įsilaužimų ir senesnių išnaudojimų. Platformoje yra daugiau nei 338 000 ETH, o tai viršija 2021 m. Kitų maišytuvų, tokių kaip Railgun, aktyvumas taip pat padidėjo.
Mane stebina tai, kad šios atakos dažnai nukreiptos į gana neaiškius projektus. Jie nesiekia didžiausių vardų su pažangiausiomis apsaugos komandomis. Vietoj to, jie randa protokolus, kurie galėjo būti pradėti turėdami gerus ketinimus, bet laikui bėgant neišlaikė tinkamos saugos praktikos. Tai priminimas, kad „DeFi“ saugumas nėra vienkartinis dalykas – tam reikia nuolatinio dėmesio ir priežiūros.
„BlockSec“ analizė rodo, kad „Futureswap“ išnaudojimas gali būti susijęs su netikėtais „stableBalance“ apskaitos pokyčiais ankstesnių pozicijų atnaujinimų metu. Šie pakeitimai, matyt, leido išleisti USDC pašalinant užstatą. Tačiau neturėdami prieigos prie sutarties šaltinio kodo, mokslininkai gali tik spėlioti apie tikslų mechanizmą.
Didesnis susirūpinimas čia yra tas, kad šie incidentai gali sugriauti pasitikėjimą Arbitrum ekosistema tuo metu, kai 2 lygio sprendimai aršiai konkuruoja dėl vartotojų ir kūrėjų. Kiekvienas išnaudojimas verčia vartotojus atsargiau žiūrėti, kur jie skiria savo lėšas, o kūrėjai labiau dvejoja dėl saugumo problemų keliančių platformų kūrimo.
