Laut Foresight News hat BlockSec Phalcon gemeldet, dass der Futureswap-Vertrag auf Arbitrum erneut angegriffen wurde, was zu einer geschätzten Verlustsumme von etwa 74.000 US-Dollar führte. Obwohl der finanzielle Schaden relativ gering ist, hat der Vorfall eine neue Schwachstelle aufgedeckt: eine Reentrancy-Lücke. Der Angreifer nutzte diese Lücke durch einen zweistufigen Prozess, der eine dreitägige Kühlzeit beinhaltete, um Gelder aus dem Protokoll zu stehlen.
Im ersten Schritt, während der Münzphase, nutzte der Angreifer die Reentrancy-Schwachstelle aus, indem er die Funktion 0x5308fcb1 erneut aufrief, bevor der Vertrag seine internen Aufzeichnungen aktualisieren konnte. Dies ermöglichte es dem Angreifer, eine große Anzahl von LP-Token zu münzen, die unverhältnismäßig hoch war im Vergleich zu den tatsächlich eingezahlten Vermögenswerten.
Im zweiten Schritt, nach der obligatorischen dreitägigen Rücknahmekühlzeit, führte der Angreifer eine Rücknahme durch und verbrannte die illegal geminten LP-Token, um die zugrunde liegenden Sicherheiten einzulösen. Dadurch konnte der Angreifer effektiv Vermögenswerte aus dem Protokoll abziehen und einen Gewinn erzielen.