Futureswap 漏洞導致 $395K 美元穩定幣（USDC）在 Arbitrum 上被提取

Arbitrum，一個以太坊的L2擴展解決方案，最近遭遇了一次驚人的漏洞攻擊。在此事件中，攻擊者已從Arbitrum中提取了總計$395K ，並針對Futureswap智能合約進行了攻擊。根據BlockSec Phalcon的數據，攻擊者執行了一系列多樣的操作，包括$USDC 轉帳和閃電貸款。因此，此次漏洞引發了用戶對進一步損失的擔憂。

警報！我們的系統在幾個小時前偵測到一筆針對#Arbitrum上的@futureswapx合約的可疑交易，估計損失約為$395K。我們已試圖聯繫團隊，但尚未收到回覆。攻擊者似乎已經提取了… pic.twitter.com/YPf4vYEqIJ

— BlockSec Phalcon (@Phalcon_xyz) 2026年1月10日

Arbitrum Futureswap漏洞利用閃電貸款盜取$395K

根據鏈上數據，總計約$395,000的資金已從Arbitrum中被盜，攻擊重點在其Futureswap智能合約。特別是，此次事件涉及一系列複雜的操作，如$USDC 交易和閃電貸款。此外，該漏洞似乎利用了多個“changePosition”調用，最終使攻擊者能夠提取一筆可觀的$USDC 金額。

轉帳追蹤始於攻擊者的“flashLoanSimple”調用，請求向Aave的Pool V3借入500B $USDC 單位。這引發了一連串通過“FlashLoanLogic”和“L2PoolInstance”的委託調用，將資金轉移到攻擊者的合約中。隨後，攻擊者執行了“executeOperation”調用，獲得了$USDC 貸款，以及近2.5億單位的手續費。據報導，此次漏洞源於在先前的頭寸更新過程中，某些“stableBalance”帳目出現了意外變動。

事件凸顯了強固DeFi保護和透明合約架構的重要性

根據BlockSec Phalcon的說法，該漏洞可能允許攻擊者繞過抵押品限制，並在移除頭寸時提取$USDC 。目前，Futureswap團隊預計將發布公開聲明來說明此事件。此次事件突顯了在DeFi平台中實施嚴格帳目保護和透明合約基礎設施的重要性。整體而言，相關調查仍在進行中，以制定適當的補救措施。