## Arbitrumが重大なエクスプロイトの被害に：Futureswapが395,000 USDを喪失

プラットフォームFutureswapはArbitrumネットワーク上で深刻な攻撃の被害に遭い、攻撃者は$USDCで395,000ドルを引き出しました。この事件はBlockSec Phalconのセキュリティシステムによって検知され、リアルタイムでプロトコルのスマートコントラクトに対する不審な活動を発見しました。攻撃者は高度な複合操作を駆使し、安全性の仕組みを回避して資金にアクセスしました。

## スマートコントラクトへのエクスプロイト攻撃の流れは？

ブロックチェーンの解析により、攻撃者の詳細な行動シーケンスが明らかになっています。最初に攻撃者はAave Pool V3の"flashLoanSimple"関数を呼び出し、$USDCで5000億の借入を要求しました。このフラッシュローンは"FlashLoanLogic"と"L2PoolInstance"のモジュールを通じて委任呼び出しの連鎖を引き起こし、最終的に資金を攻撃者のアカウントに送金しました。

次に攻撃者は"executeOperation"を実行し、ほぼ2億5000万のプレミアム付きフラッシュローンを受け取りました。エクスプロイトはまた、"changePosition"の複数回の呼び出しを利用し、システムの決済ロジックを操作して、ポジションのクローズ時に大量の$USDC を抽出しました。全操作は、ユーザーのポジション更新時における"stableBalance"変数の予期しない挙動に基づいています。

## DeFiのセキュリティは抜本的な改善が必要

この事件はDeFiプラットフォームのコントラクトインフラにおける重大な脆弱性を示しています。エクスプロイトは、バッファ操作の検証の弱さやセキュリティ検証メカニズムの不足を明らかにしました。Futureswapのチームは近日中に公式声明と修正計画を発表する予定です。

現在の対応は、包括的な防御策の策定に向けた取り組みを進めています。この事件はDeFiエコシステム全体に対し、より厳格なセキュリティプロトコルの導入とスマートコントラクト監査の透明性向上の必要性を再認識させるものです。