BlockSec：На Arbitrum протокол FutureSwap знову зазнав атаки, вразливість повторного входу спричинила збитки на 74 000 доларів США

Foresight News повідомляє, що за даними BlockSec Phalcon, контракт Futureswap на Arbitrum знову зазнав атаки, ймовірні збитки становлять близько 74 000 доларів США. Хоча збитки незначні, варто зазначити, що ця атака виявила нову вразливість: повторне входження (reentrancy). Зловмисник за допомогою двошагового процесу з триденним періодом охолодження викрав кошти з протоколу. Перший крок — етап створення, коли зловмисник, використовуючи вразливість повторного входження, під час процесу надання ліквідності повторно входив у функцію 0x5308fcb1 перед оновленням внутрішніх рахунків у контракті, створюючи велику кількість LP-токенів порівняно з фактично внесеними активами. Другий крок — етап зняття, коли після завершення обов’язкового триденого періоду охолодження зловмисник виконав зняття, спаливши незаконно створені LP-токени для обміну на базові застави, тим самим ефективно викрав активи з протоколу та отримав прибуток.