Sự cố giao dịch đáng ngờ trên hợp đồng FutureSwapX (Arbitrum) bị nghi làm thất thoát khoảng 395.000 USD, với số tiền cuối cùng được rút ra dưới dạng USDC.
Theo giám sát của BlockSec, kẻ tấn công được cho là đã lợi dụng nhiều thao tác changePosition để lấy tiền, trong bối cảnh đội ngũ dự án chưa phản hồi và nguyên nhân gốc vẫn cần điều tra thêm do hợp đồng không mở mã nguồn.
- FutureSwapX trên Arbitrum bị nghi thất thoát khoảng 395.000 USD.
- Kẻ tấn công bị nghi rút USDC qua nhiều thao tác changePosition.
- Hợp đồng không mở mã nguồn; nghi liên quan staking update và stable balance.
Diễn biến và thiệt hại
BlockSec ghi nhận một giao dịch đáng ngờ trên hợp đồng FutureSwapX (Arbitrum), ước tính thiệt hại khoảng 395.000 USD, và USDC là tài sản bị rút đi.
Theo mô tả từ giám sát on-chain, kẻ tấn công dường như thao túng quy trình quản lý vị thế bằng nhiều thao tác changePosition, sau đó thực hiện rút tiền để lấy USDC. Chuỗi hành vi này cho thấy hành động có chủ đích và lặp lại, thay vì một lần rút đơn lẻ.
BlockSec cho biết đã cố gắng liên hệ đội ngũ nhưng chưa nhận được phản hồi tại thời điểm báo cáo. Việc thiếu phản hồi có thể làm chậm quá trình khoanh vùng lỗ hổng và cập nhật biện pháp giảm thiểu rủi ro cho người dùng.
Nghi vấn nguyên nhân kỹ thuật
Do hợp đồng FutureSwapX không mở mã nguồn, nguyên nhân gốc của sự cố vẫn chưa thể kết luận và cần điều tra thêm.
Dựa trên hành vi on-chain, BlockSec nghi ngờ sự cố có thể liên quan tới các thay đổi không mong đợi của stable balance trong giai đoạn cập nhật staking ban đầu. Kịch bản được đặt ra là stable balance biến động khiến USDC được giải phóng khi collateral bị gỡ bỏ, tạo điều kiện để kẻ tấn công rút tài sản.
Trong khi chưa có kết luận chính thức, điểm nghẽn là khả năng kiểm chứng logic nội bộ của hợp đồng bị hạn chế vì không có mã nguồn công khai. Điều này khiến việc xác định chính xác cơ chế phát sinh thất thoát (bug, cấu hình, hoặc tương tác trạng thái) phụ thuộc nhiều hơn vào phân tích dữ liệu on-chain.
