Lỗ hổng bảo mật trên Arbitrum tiết lộ lỗ hổng hợp đồng lớn—$395K Mất

Một sự cố nghiêm trọng trên mạng Arbitrum đã làm dấy lên những lo ngại mới về an ninh hợp đồng trong hệ sinh thái. Theo các báo cáo gần đây, các nhà nghiên cứu về an ninh từ BlockSec đã phát hiện hoạt động đáng ngờ nhắm vào hợp đồng thông minh FutureSwapX, cuối cùng đã rút khoảng $395,000 USDC từ giao thức.

Quá trình vụ tấn công diễn ra như thế nào

Kẻ tấn công đã lợi dụng chuỗi các thao tác changePosition để tổ chức vụ trộm cắp. Thay vì một cuộc tấn công trực tiếp, lỗ hổng dường như xuất phát từ cách hợp đồng xử lý cập nhật vị thế và quản lý quỹ. Khi các vị thế bị giảm hoặc đóng, cơ chế này vô tình đã phát hành USDC cho kẻ tấn công—một lỗi logic biến các hoạt động hợp đồng tiêu chuẩn thành cổng để rút tiền.

Thách thức trong quá trình điều tra

Điều khiến vụ việc này đặc biệt đáng lo ngại là FutureSwapX hoạt động như một hợp đồng mã nguồn đóng. Tính chất mập mờ này tạo ra một rào cản lớn cho các nhà nghiên cứu cố gắng xác định chính xác lỗ hổng. Tuy nhiên, phân tích dữ liệu trên chuỗi cho thấy vụ tấn công có thể đã bị kích hoạt bởi những biến động bất ngờ trong số dư stable coin trong giai đoạn khởi tạo vị thế ban đầu. BlockSec đã liên hệ với nhóm phát triển để làm rõ, mặc dù phản hồi vẫn đang chờ xử lý.

Điều này có ý nghĩa gì đối với người dùng

Giao dịch đáng ngờ này nhấn mạnh một vấn đề lặp đi lặp lại trong tài chính phi tập trung: ngay cả các giao thức đã được thiết lập cũng có thể chứa các lỗ hổng tiềm ẩn khai thác các trường hợp ngoại lệ trong logic của chúng. Đối với những ai tương tác với các hợp đồng ít được kiểm tra trên Arbitrum, đây là lời nhắc nhở về việc thực hiện thẩm định kỹ lưỡng và theo dõi chặt chẽ các vị thế của bạn.