Futureswap basado en Arbitrum pierde $400K en un presunto hack

Fuente: CryptoNewsNet Título original: Futureswap basado en Arbitrum pierde $400K en un presunto hack Enlace original: https://cryptonews.net/news/security/32257466/

La plataforma de trading con apalancamiento descentralizado Futureswap pierde $395K en un presunto exploit

La plataforma de trading con apalancamiento descentralizado en Arbitrum, Futureswap, ha perdido aproximadamente $395,000 en un presunto exploit, según la firma de seguridad blockchain BlockSec, extendiendo una racha no deseada de víctimas de DeFi basadas en Arbitrum para comenzar 2026.

El incidente es la última brecha que afecta a un protocolo DeFi en la red Arbitrum en 2026, con solo diez días transcurridos del año.

La noticia se dio a conocer por primera vez cuando Phalcon, la plataforma de detección de amenazas de BlockSec, informó que había detectado transacciones sospechosas dirigidas al contrato de Futureswap.

La firma de seguridad dijo que intentó contactar con el equipo, pero no recibió respuesta en el momento de la publicación. Para contextualizar, la cuenta de X del proyecto publicó por última vez en 2022.

Según Phalcon, “El atacante parece haber drenado fondos mediante múltiples operaciones changePosition, retirando finalmente una gran cantidad de USDC.”

También añadió, “Dado que el contrato no es de código abierto, la causa raíz exacta aún requiere una investigación adicional.”

¿Cómo fue hackeado Futureswap?

BlockSec analizó el comportamiento en la cadena y afirmó que sospecha que “el incidente puede estar relacionado con cambios inesperados en el balance estable durante las actualizaciones de posición anteriores, lo que posteriormente permitió que se liberara USDC al retirar colateral.”

Unos días antes, el 5 de enero, informes indicaron que dos proyectos en Arbitrum perdieron $1.5 millones en ataques de acceso a contratos inteligentes. USD Gambit y TLP, ambos lanzados por el mismo desplegador, sufrieron retiros no autorizados después de que un atacante obtuviera acceso de administrador y reemplazara los contratos inteligentes por versiones maliciosas.

Según la firma de seguridad blockchain Cyvers Alert, un análisis preliminar muestra que el único desplegador pudo haber perdido acceso a su cuenta. “Luego, el atacante desplegó un nuevo contrato y actualizó los privilegios de ProxyAdmin para tomar el control”, afirmó Cyvers Alert.

Los fondos robados fueron posteriormente transferidos a la red Ethereum y depositados en Tornado Cash.

¿Están los hackers apuntando a Arbitrum?

El nombre de Arbitrum ha sido mencionado muchas veces en los hacks de DeFi reportados hasta ahora en 2026. A principios de enero, TMX Tribe sufrió un exploit de $1.4 millones, mientras que la bóveda USDC de IPOR Fusion perdió $336,000 debido a una vulnerabilidad en un contrato legado, aunque la DAO prometió reembolsar completamente a los usuarios.

Los investigadores de seguridad han señalado que los ataques recientes siguen un patrón similar que ha sido vinculado a actores de amenazas patrocinados por estados, que utilizan principalmente Tornado Cash para lavar fondos. Los atacantes han aprendido a moverse rápidamente para intercambiar y mezclar fondos robados casi de inmediato para evitar la lista negra de direcciones.

Estas brechas suelen dirigirse a ecosistemas de alta liquidez porque así, los explotadores maximizan sus posibilidades de obtener grandes ganancias. Según Defillama, Arbitrum tiene más de $3 mil millones en protocolos DeFi en la plataforma, y nunca ha estado lejos del primer puesto entre las L2 de Ethereum en términos de TVL desde su lanzamiento en 2021.

Otro tema común en los hacks recientes es que generalmente apuntan a contratos inteligentes antiguos que aún contienen liquidez.

En julio de 2025, la Fundación Arbitrum lanzó un fondo de guerra de $14 millones a través del Programa de Auditoría de Arbitrum para apoyar proyectos nativos subsidiando sus auditorías de contratos inteligentes.

El botín del exploit se redirige rápidamente a través de mixers

El cuarto trimestre de 2025 vio un aumento en los depósitos en Tornado Cash, con el mixer ahora manteniendo un valor récord bloqueado tanto por nuevos hacks como por exploits antiguos. La plataforma contiene más de 338,000 ETH, lo que supera su pico de 2021. Mixers como Railgun también experimentaron un aumento en la actividad a finales de 2025.

Los ataques han apuntado principalmente a proyectos relativamente oscuros, según lo que han observado los analistas. USD Gambit, por ejemplo, señala que una sola exchange será eliminada en las próximas semanas. A pesar de haberse lanzado en 2023, el proyecto no se benefició de la recuperación del trading DeFi y de futuros perpetuos, lo que lo convierte en un objetivo más fácil con menos supervisión de seguridad.