Nền tảng giao dịch đòn bẩy phi tập trung Futureswap tiếp tục bị khai thác, với thiệt hại ước tính khoảng 74.000 USD trong lần tấn công thứ hai chỉ trong 4 ngày.
Sự cố mới cho thấy các hợp đồng DeFi “cũ” có thể xuất hiện bề mặt tấn công mới, đặc biệt khi dự án thiếu cập nhật, kiểm toán và truyền thông, trong khi vẫn còn tài sản người dùng đang bị khóa trong giao thức.
- Futureswap bị khai thác lần hai trong 4 ngày, thất thoát ước tính 74.000 USD do lỗ hổng reentrancy.
- Kẻ tấn công lợi dụng cơ chế cooldown rút 3 ngày để đúc LP token vượt mức, rồi quy đổi tài sản thế chấp.
- Chuỗi sự cố của Futureswap phản ánh xu hướng các giao thức DeFi lâu đời tiếp tục bị nhắm đến, đặc biệt trên Arbitrum.
Futureswap bị tấn công lần hai trong 4 ngày với thiệt hại khoảng 74.000 USD
Một cuộc tấn công mới vào Futureswap đã lấy đi khoảng 74.000 USD, được cho là khai thác lỗ hổng mới trong cùng hợp đồng từng bị nhắm đến vài ngày trước.
Đơn vị an ninh blockchain BlockSec Phalcon công bố thông tin qua bài đăng trên X về cuộc tấn công thứ hai: thông báo trên X của Phalcon. Theo mô tả, điểm đáng chú ý không nằm ở quy mô thiệt hại mà ở việc xuất hiện “bề mặt tấn công mới”, cụ thể là lỗ hổng reentrancy.
Cơ chế cooldown 3 ngày bị lợi dụng để rút tài sản theo quy trình hai bước
Kẻ tấn công tận dụng cooldown rút bắt buộc 3 ngày của Futureswap để đúc LP token quá mức trước, chờ hết thời gian khóa, rồi đốt token để rút tài sản thế chấp.
Theo phân tích từ nền tảng phát hiện đe dọa Phalcon, kẻ tấn công re-enter (gọi lồng) vào hàm 0x5308fcb1 trước khi hợp đồng kịp cập nhật sổ sách nội bộ. Việc chen ngang này khiến cơ chế ghi nhận tài sản bị sai lệch tại thời điểm nhạy cảm.
Bước tiếp theo, kẻ tấn công đúc lượng LP token vượt quá giá trị tài sản thực tế đã nạp. Sau khi chờ hết cooldown rút, kẻ tấn công đốt các token đã đúc sai để quy đổi tài sản thế chấp bên dưới, qua đó chuyển tài sản ra khỏi giao thức cùng phần lợi nhuận.
Futureswap bị hack lần thứ ba trong một tháng và tổng thiệt hại vượt 1 triệu USD
Chỉ trong một tháng, Futureswap ghi nhận ba sự cố với các lỗ hổng khác nhau, đưa tổng thiệt hại cộng dồn lên hơn 1 triệu USD.
Vài ngày trước vụ 74.000 USD, nền tảng được cho là đã mất hơn 395.000 USD trong một khai thác khác. Vụ đó liên quan đến nhiều thao tác changePosition và bị nghi gắn với các thay đổi bất thường trong hạch toán stableBalance khi cập nhật vị thế, dẫn tới khả năng giải phóng USDC khi gỡ tài sản thế chấp.
Ngoài ra, Futureswap còn từng dính một cuộc tấn công quản trị (governance attack) vào tháng 12/2025 với thiệt hại ít nhất 830.000 USD. Kịch bản được mô tả là kẻ tấn công dùng flash loan để vay tạm token quản trị, giành quyền biểu quyết nhằm thông qua đề xuất độc hại chuyển tiền khỏi giao thức. Thông tin được tổng hợp từ trang theo dõi sự cố: cơ sở dữ liệu sự cố của SlowMist.
Các giao thức DeFi lâu đời tiếp tục bị nhắm đến trong năm 2026
Các sự cố của Futureswap nằm trong bối cảnh hacker tiếp tục nhắm vào DeFi “legacy”, với tổng thiệt hại được nêu là vượt 27 triệu USD tính đến 2026.
Nhiều giao thức trên Arbitrum cũng bị tấn công trong các tuần gần đây. USDGambit và TLP mất 1,5 triệu USD sau khi kẻ tấn công có quyền admin và triển khai hợp đồng độc hại. TMX Tribe chịu thiệt hại 1,4 triệu USD. Kho IPOR Fusion USDC vault mất 336.000 USD do lỗ hổng từ hợp đồng cũ, đồng thời cam kết hoàn tiền cho người dùng bị ảnh hưởng.
Arbitrum vẫn giữ TVL DeFi hơn 3,1 tỷ USD, trở thành mục tiêu hấp dẫn
Dù liên tiếp xảy ra sự cố bảo mật, Arbitrum vẫn có hơn 3,1 tỷ USD TVL trong DeFi, yếu tố có thể khiến mạng này trở nên hấp dẫn với kẻ tấn công.
Dữ liệu TVL được tham chiếu từ DefiLlama tại: trang TVL Arbitrum trên DefiLlama. Arbitrum được ghi nhận duy trì vị trí cao trong nhóm các giải pháp Ethereum Layer-2 theo TVL kể từ khi ra mắt năm 2021.
Futureswap thiếu cập nhật công khai và câu hỏi về trách nhiệm với hợp đồng bị “bỏ quên”
Futureswap chưa có thông báo công khai về các vụ khai thác, làm dấy lên lo ngại về quản trị rủi ro khi giao thức bị bỏ mặc nhưng vẫn giữ tiền người dùng.
Theo nội dung được nêu, không có thành viên đội ngũ Futureswap đưa ra tuyên bố về các vụ việc; tài khoản X của dự án được cho là đã không đăng bài từ năm 2023, và lần kiểm toán gần nhất được nhắc đến là năm 2021. Điều này làm tăng rủi ro với các hợp đồng “legacy” vì lỗi mới có thể xuất hiện khi môi trường công nghệ thay đổi.
Các chuyên gia bảo mật thường khuyến nghị: nếu dự án không còn duy trì, cần sunset hợp đồng đúng cách và ngăn người dùng tương tác; nếu vẫn vận hành, cần kiểm toán lại, xác minh mã nguồn và củng cố quy trình giám sát on-chain. Với người dùng, lựa chọn thận trọng là rút tài sản khỏi các hợp đồng cũ có dấu hiệu bị bỏ hoang.
Những câu hỏi thường gặp
Futureswap bị hack lần này mất bao nhiêu tiền?
Thiệt hại ước tính khoảng 74.000 USD, theo thông tin công bố từ BlockSec Phalcon về cuộc tấn công thứ hai trong 4 ngày.
Lỗ hổng chính trong vụ tấn công mới là gì?
Bề mặt tấn công mới được nêu là lỗ hổng reentrancy, cho phép kẻ tấn công can thiệp trước khi hợp đồng cập nhật hạch toán nội bộ.
Kẻ tấn công đã rút tài sản bằng cách nào?
Kẻ tấn công re-enter vào hàm 0x5308fcb1 để làm sai lệch hạch toán, đúc LP token vượt mức so với tài sản nạp, chờ cooldown rút 3 ngày, rồi đốt token để quy đổi tài sản thế chấp và rút khỏi giao thức.
Futureswap đã bị tấn công bao nhiêu lần gần đây?
Nội dung cho biết Futureswap đã trải qua ba cuộc tấn công trong một tháng, với tổng thiệt hại cộng dồn vượt 1 triệu USD.
Vì sao các giao thức DeFi lâu đời dễ bị nhắm đến?
Các hợp đồng “legacy” thường ít được cập nhật hoặc kiểm toán lại, trong khi vẫn nắm giữ tài sản người dùng. Khi dự án thiếu bảo trì và giám sát, các lỗ hổng mới có thể bị khai thác.