【区块律动】Arbitrumチェーン上の分散型取引プロトコルFutureSwapが再び攻撃を受けました。セキュリティ調査機関の監視によると、今回の事件での損失は約7.4万ドルに達しています。攻撃者は今回もクラシックなリインカーネーション(再入)脆弱性を利用しましたが、その実行手法は非常に巧妙で、2段階に分かれていました。まず3日前に、攻撃者は流動性提供時に脆弱性を突き、リインカーネーション呼び出しを通じて通常の数倍のLPトークンを一括で鋳造しました。そして次に、待つだけです。実に3日間待ちました。この時間差が非常に重要で、いくつかの防御メカニズムを回避したり、チェーン上の状態変化を待ったりしていると考えられます。第2段階は収穫です——攻撃者はこれらの不正に鋳造されたLPトークンを使って燃焼と償還を行い、直接底層の担保資産を引き出しました。プロトコルの観点から見ると、これらのLPトークンがどのようにして得られたのか全く認識しておらず、そのまま現金化された形です。これはFutureSwapが安全面で初めて失敗したわけではありません。類似のリインカーネーション脆弱性はDeFiプロトコルの一般的な死穴で、多くのプロジェクトが被害に遭っています。ユーザーにとってもこれは警告です——流動性マイニングのリターンがどれだけ魅力的であっても、まずはプロトコルのセキュリティ監査レポートをしっかり確認する必要があります。
Arbitrum上のFutureSwapが再びリクルージョン脆弱性攻撃を受け、7.4万ドルの資金を失う
【区块律动】Arbitrumチェーン上の分散型取引プロトコルFutureSwapが再び攻撃を受けました。セキュリティ調査機関の監視によると、今回の事件での損失は約7.4万ドルに達しています。
攻撃者は今回もクラシックなリインカーネーション(再入)脆弱性を利用しましたが、その実行手法は非常に巧妙で、2段階に分かれていました。まず3日前に、攻撃者は流動性提供時に脆弱性を突き、リインカーネーション呼び出しを通じて通常の数倍のLPトークンを一括で鋳造しました。そして次に、待つだけです。実に3日間待ちました。この時間差が非常に重要で、いくつかの防御メカニズムを回避したり、チェーン上の状態変化を待ったりしていると考えられます。
第2段階は収穫です——攻撃者はこれらの不正に鋳造されたLPトークンを使って燃焼と償還を行い、直接底層の担保資産を引き出しました。プロトコルの観点から見ると、これらのLPトークンがどのようにして得られたのか全く認識しておらず、そのまま現金化された形です。
これはFutureSwapが安全面で初めて失敗したわけではありません。類似のリインカーネーション脆弱性はDeFiプロトコルの一般的な死穴で、多くのプロジェクトが被害に遭っています。ユーザーにとってもこれは警告です——流動性マイニングのリターンがどれだけ魅力的であっても、まずはプロトコルのセキュリティ監査レポートをしっかり確認する必要があります。