Futureswapの脆弱性により、Arbitrum上で$395K のUSDCが流出

ArbitrumはEthereumのL2スケーリングソリューションであり、最近大規模な脆弱性が明らかになりました。この点で、攻撃者はFutureswapのスマートコントラクトをターゲットにして、合計$395K をArbitrumから流出させました。BlockSec Phalconのデータによると、攻撃者は$USDC のトランザクションやフラッシュローンを含む多様な操作を一連で実行しました。そのため、この攻撃はユーザーの間にさらなる損失の懸念を引き起こしています。

警告！当システムは数時間前に@futureswapxのコントラクトをターゲットにした疑わしい取引を検知し、推定損失は約$395Kとなっています。私たちはチームに連絡を試みましたが、まだ回答を得ていません。攻撃者は… pic.twitter.com/YPf4vYEqIJ

— BlockSec Phalcon (@Phalcon_xyz) 2026年1月10日

Arbitrum Futureswap脆弱性はフラッシュローンを通じて$395K を盗む

オンチェーンデータによると、合計$395,000がFutureswapスマートコントラクトに焦点を当てた脆弱性からArbitrumから流出しました。特に、今回の事件は$USDC のトランザクションやフラッシュローンなど、多様な操作の複雑な連鎖から成り立っています。さらに、攻撃者はさまざまな“changePosition”呼び出しを利用し、最終的に$USDC の金額を抽出できるようになりました。

この送金の追跡は、攻撃者の“flashLoanSimple”呼び出しから始まり、AaveのPool V3に対して500B$USDC ユニットをリクエストしました。これにより、“FlashLoanLogic”や“L2PoolInstance”を介した一連のデリゲートコールがトリガーされ、資金は攻撃者のコントラクトに送られました。その後、攻撃者は“executeOperation”呼び出しを実行し、$USDC のローンとほぼ2億5000万ユニットのプレミアムを獲得しました。この脆弱性は、以前のポジション更新中に発生した“stableBalance”の予期しない変動に起因していると報告されています。

事件のハイライト：堅牢なDeFi保護と透明性の必要性

BlockSec Phalconによると、この脆弱性は攻撃者が担保制限を回避し、$USDC を引き出すことを可能にした可能性があります。現在、Futureswapチームはこの事件に対処するための公式声明を発表する予定です。この事例は、DeFiプラットフォームにおける厳格な会計保護と透明なコントラクトインフラの重要性を浮き彫りにしています。全体として、今後の対策や修正案を検討するための調査が進行中です。