Futureswap, nền tảng giao dịch đòn bẩy phi tập trung trên Arbitrum, bị nghi khai thác khiến thất thoát ước tính khoảng 395.000 USD, theo công ty an ninh blockchain BlockSec.
Sự cố này nối dài chuỗi rủi ro bảo mật DeFi trên Arbitrum ngay những ngày đầu năm 2026, khi nhiều vụ tấn công có dấu hiệu tận dụng hợp đồng cũ, lỗ hổng quản trị và tuyến rửa tiền qua các mixer như Tornado Cash.
- BlockSec/Phalcon ghi nhận giao dịch đáng ngờ nhắm vào hợp đồng Futureswap, thiệt hại ước tính khoảng 395.000 USD.
- Nhà nghiên cứu nghi vấn lỗi phát sinh từ thay đổi hạch toán stableBalance trong lúc cập nhật vị thế, dẫn tới mở khóa USDC khi rút tài sản thế chấp.
- Nhiều vụ hack DeFi trên Arbitrum có điểm chung: dòng tiền bị đánh cắp được trộn qua Tornado Cash, thường nhắm vào hợp đồng cũ còn giữ thanh khoản.
Futureswap bị nghi khai thác và thất thoát khoảng 395.000 USD
BlockSec cho biết hệ thống Phalcon phát hiện giao dịch bất thường nhắm vào hợp đồng Futureswap trên Arbitrum, với mức thiệt hại ước tính khoảng 395.000 USD.
Thông tin được công bố khi Phalcon, nền tảng phát hiện mối đe doạ của BlockSec, đăng cảnh báo trên X về các giao dịch đáng ngờ liên quan Futureswap.
BlockSec cho biết đã cố gắng liên hệ đội ngũ dự án nhưng chưa nhận được phản hồi tại thời điểm đăng tải. Tài khoản X của dự án được ghi nhận lần đăng gần nhất từ năm 2022, làm tăng khó khăn trong phối hợp ứng phó sự cố.
Theo mô tả từ Phalcon, kẻ tấn công có vẻ đã rút tiền thông qua nhiều thao tác changePosition, sau đó rút một lượng lớn USDC. Phalcon cũng lưu ý hợp đồng không mở mã nguồn, nên nguyên nhân gốc vẫn cần điều tra thêm để xác định cơ chế khai thác.
“CẢNH BÁO! Hệ thống của chúng tôi phát hiện một giao dịch đáng ngờ nhắm vào hợp đồng của @futureswapx trên #Arbitrum vài giờ trước, gây thiệt hại ước tính khoảng 395.000 USD. Chúng tôi đã cố gắng liên hệ đội ngũ nhưng chưa nhận được phản hồi…”
– BlockSec Phalcon, cảnh báo trên X (10/01/2026)
Lỗ hổng có thể liên quan đến hạch toán stableBalance khi cập nhật vị thế
BlockSec nghi ngờ sự cố liên quan đến thay đổi hạch toán stableBalance trong các lần cập nhật vị thế trước đó, từ đó cho phép USDC được giải phóng khi gỡ tài sản thế chấp.
Phân tích hành vi on-chain của BlockSec tập trung vào chuỗi thao tác trước và trong lúc rút tiền. Giả thuyết được nêu là có sai lệch “kế toán” nội bộ (accounting) trong quá trình cập nhật vị thế, khiến số dư stableBalance biến đổi ngoài dự kiến.
Nếu giả thuyết này đúng, kẻ tấn công có thể tạo điều kiện để rút USDC khi thực hiện thao tác loại bỏ/gỡ tài sản thế chấp. Do hợp đồng không open-source, việc xác nhận cần dựa trên truy vết giao dịch, trạng thái hợp đồng và các biến liên quan tại từng bước thực thi.
Chuỗi sự cố Arbitrum đầu 2026 làm nổi bật rủi ro quyền quản trị hợp đồng
Một số vụ tấn công trên Arbitrum đầu 2026 liên quan đến giành quyền quản trị, thay hợp đồng bằng phiên bản độc hại và rút tiền trái phép.
Trước đó vài ngày (05/01/2026), có thông tin hai dự án Arbitrum là USD Gambit và TLP bị thiệt hại tổng cộng 1,5 triệu USD trong các cuộc tấn công truy cập hợp đồng thông minh. Hai dự án được triển khai bởi cùng một deployer và bị rút tiền sau khi kẻ tấn công giành quyền admin, rồi thay hợp đồng bằng bản độc hại.
Theo công ty an ninh blockchain Cyvers Alert, phân tích sơ bộ cho thấy deployer có thể đã mất quyền truy cập tài khoản. Cyvers Alert cho biết kẻ tấn công triển khai hợp đồng mới và cập nhật đặc quyền ProxyAdmin để giành quyền kiểm soát.
Số tiền bị đánh cắp sau đó được bridge sang mạng Ethereum và gửi vào Tornado Cash, cho thấy mô típ rửa tiền quen thuộc nhằm làm mờ nguồn gốc tài sản.
Arbitrum là hệ sinh thái thanh khoản lớn nên thường bị nhắm tới
Arbitrum liên tục xuất hiện trong các vụ hack DeFi đầu 2026, một phần vì TVL lớn khiến kẻ tấn công có động cơ tối đa hóa giá trị có thể chiếm đoạt.
Các vụ việc được nhắc đến gồm TMX Tribe bị khai thác 1,4 triệu USD và IPOR Fusion USDC vault mất 336.000 USD do lỗ hổng hợp đồng “legacy”, dù DAO cam kết hoàn tiền toàn bộ cho người dùng. Những sự cố này củng cố nhận định rằng hợp đồng cũ còn giữ thanh khoản là mục tiêu hấp dẫn.
Theo DefiLlama, Arbitrum nắm giữ hơn 3 tỷ USD giá trị khóa (TVL) trong các giao thức DeFi. Quy mô thanh khoản giúp hệ sinh thái tăng trưởng, nhưng cũng làm phần thưởng cho kẻ tấn công trở nên đáng kể.
Tháng 07/2025, Arbitrum Foundation triển khai gói 14 triệu USD thông qua Arbitrum Audit Program nhằm trợ cấp kiểm toán hợp đồng thông minh cho các dự án native, cho thấy nỗ lực giảm rủi ro từ cấp hệ sinh thái.
Dòng tiền bị đánh cắp thường được chuyển nhanh qua mixer để né truy vết
Các vụ tấn công DeFi gần đây thường chuyển tiền qua Tornado Cash gần như ngay lập tức để tránh bị blacklist địa chỉ và làm suy yếu khả năng truy xuất nguồn gốc.
Quý 4/2025 ghi nhận số dư gửi vào Tornado Cash tăng mạnh, với tổng lượng nắm giữ vượt 338.000 ETH, cao hơn đỉnh năm 2021. Một số mixer khác như Railgun cũng được ghi nhận tăng hoạt động vào cuối 2025, phản ánh xu hướng “phân tán và trộn” tài sản sau khai thác.
Các nhà nghiên cứu bảo mật nhận xét một số cuộc tấn công gần đây có mô típ tương đồng với các nhóm hacker được cho là có liên hệ nhà nước Triều Tiên, vốn thường sử dụng Tornado Cash để rửa tiền. Điểm đáng chú ý là tốc độ: hoán đổi, bridge và trộn tiền diễn ra nhanh để giảm khả năng can thiệp.
Mặt khác, các dự án ít nổi bật đôi khi trở thành mục tiêu vì giám sát bảo mật và tần suất kiểm toán thấp hơn. Trong bối cảnh đó, hợp đồng cũ nhưng vẫn giữ thanh khoản là “điểm yếu tồn kho” dễ bị dò tìm và khai thác.
Những câu hỏi thường gặp
Futureswap bị thiệt hại bao nhiêu và ai phát hiện?
Thiệt hại được ước tính khoảng 395.000 USD. Hệ thống Phalcon của BlockSec phát hiện các giao dịch đáng ngờ nhắm vào hợp đồng Futureswap trên Arbitrum và công bố cảnh báo.
Kẻ tấn công được cho là đã rút tiền bằng cách nào?
Phalcon cho biết kẻ tấn công có vẻ đã thực hiện nhiều thao tác changePosition rồi rút một lượng lớn USDC. BlockSec nghi ngờ lỗi liên quan hạch toán stableBalance trong các lần cập nhật vị thế, cho phép USDC được giải phóng khi gỡ tài sản thế chấp.
Vì sao nguyên nhân gốc khó xác định ngay?
Phalcon lưu ý hợp đồng không open-source, nên cần thêm điều tra on-chain và phân tích trạng thái hợp đồng để xác định chính xác cơ chế gây ra thất thoát.
Vì sao Arbitrum thường bị nhắm tới trong các vụ hack DeFi?
Arbitrum là hệ sinh thái có thanh khoản lớn, theo DefiLlama TVL trên Arbitrum vượt 3 tỷ USD. Thanh khoản cao giúp kẻ tấn công có cơ hội thu lợi lớn hơn, đặc biệt khi nhắm vào các hợp đồng cũ còn giữ tiền.
Tornado Cash liên quan gì đến các vụ hack gần đây?
Tornado Cash thường được dùng để trộn tài sản sau khi bị đánh cắp. Quý 4/2025 ghi nhận số dư Tornado Cash vượt 338.000 ETH, và nhiều vụ việc mô tả dòng tiền bị bridge sang Ethereum rồi nạp vào Tornado Cash.