BlockSec: El protocolo FutureSwap en Arbitrum vuelve a ser atacado, pérdida de 74,000 dólares debido a una vulnerabilidad de reentrada

Foresight News informa que, según la monitorización de BlockSec Phalcon, el contrato de Futureswap en Arbitrum ha sido atacado nuevamente, con una pérdida estimada de aproximadamente 74,000 dólares. Aunque la pérdida no es significativa, cabe destacar que este ataque ha revelado una nueva superficie de ataque: una vulnerabilidad de reentrada. Los atacantes robaron fondos del protocolo mediante un proceso de dos pasos que incluye un período de enfriamiento de tres días. El primer paso es la fase de acuñación, donde los atacantes aprovecharon la vulnerabilidad de reentrada durante el proceso de provisión de liquidez, reingresando en la función 0x5308fcb1 antes de que se actualizara la contabilidad interna del contrato, acuñando una gran cantidad de tokens LP en relación con los activos depositados. El segundo paso es la fase de retiro, donde, tras esperar el período de enfriamiento obligatorio de tres días, los atacantes realizaron el retiro, quemando los tokens LP acuñados ilegalmente para canjear la garantía subyacente, robando efectivamente activos del protocolo y obteniendo beneficios.