BlockSec:Arbitrum 上 FutureSwap 协议再遭攻击,重入漏洞致损失 7.4 万美元
Foresight News ข่าว จากการตรวจสอบของ BlockSec Phalcon พบว่า สัญญา Futureswap บน Arbitrum ถูกโจมตีอีกครั้ง คาดว่าความเสียหายประมาณ 74,000 ดอลลาร์สหรัฐ แม้ว่าความเสียหายจะไม่มากนัก แต่สิ่งที่น่าจับตามองคือ การโจมตีครั้งนี้เปิดเผยช่องโหว่ใหม่: ช่องโหว่การเรียกซ้ำ ผู้โจมตีใช้กระบวนการสองขั้นตอนที่มีระยะเวลารอคอยสามวันเพื่อขโมยเงินจากโปรโตคอล ขั้นตอนแรกคือขั้นตอนการสร้างเหรียญ ผู้โจมตีใช้ช่องโหว่การเรียกซ้ำในระหว่างการให้สภาพคล่อง โดยการเข้าใหม่ในฟังก์ชัน 0x5308fcb1 ก่อนที่บัญชีภายในของสัญญาจะได้รับการอัปเดต ทำให้สร้าง LP โทเค็นจำนวนมากเมื่อเทียบกับสินทรัพย์ที่ฝากจริง ขั้นตอนที่สองคือขั้นตอนการถอนเงิน หลังจากรอครบกำหนดระยะเวลารอถอนเงินสามวัน ผู้โจมตีดำเนินการถอนเงินและเผา LP โทเค็นที่สร้างขึ้นอย่างผิดกฎหมายเพื่อแลกกับหลักประกันพื้นฐาน ซึ่งเป็นการขโมยสินทรัพย์จากโปรโตคอลอย่างมีประสิทธิภาพและทำกำไร