Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Launchpad
Soyez les premiers à participer au prochain grand projet de jetons
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
Plus
$17 Un million de pertes révèle une lacune critique dans la validation des entrées de SwapNet et Aperture Finance
Le 26 janvier, deux protocoles DeFi—SwapNet et Aperture Finance—ont été victimes d’attaques coordonnées qui ont drainé un total de 17 millions de dollars de leurs trésoreries. Les chercheurs en sécurité de BlockSec, analysant l’incident pour Foresight News, ont découvert une faille commune mais dévastatrice au cœur des deux brèches : une validation d’entrée inadéquate dans leurs contrats intelligents.
La vulnérabilité : une validation d’entrée faible ouvre la porte
La cause principale remonte à des mesures de sécurité insuffisantes dans la façon dont les contrats victimes traitaient les appels de fonction entrants. Cette faiblesse a permis aux attaquants d’exécuter des appels de fonction arbitraires contre les contrats, obtenant ainsi un accès non autorisé à leur logique interne. Plutôt que de construire des exploits d’attaque personnalisés à partir de zéro, les acteurs malveillants ont exploité une approche plus élégante—ils ont weaponisé les permissions de tokens déjà accordées à ces protocoles.
Comment les approbations de tokens existantes sont devenues une responsabilité
Le mécanisme d’attaque exploitait un schéma fondamental de DeFi : les approbations de tokens. Les utilisateurs accordent couramment aux contrats intelligents la permission de dépenser leurs tokens via la fonction transferFrom, une pratique standard dans les interactions avec les DEX et le yield farming. Dans ce cas, les attaquants ont utilisé les failles de validation d’entrée pour se faire passer pour des transactions légitimes, déclenchant des appels transferFrom qui ont drainé les tokens directement des portefeuilles des utilisateurs et des réserves du protocole. Les contrats, incapables de valider correctement les opérations réellement demandées, ont exécuté ces transferts malveillants sans résistance.
Ce que cela révèle sur la sécurité en DeFi
L’incident de 17 millions de dollars souligne comment des oublis architecturaux dans la conception des contrats peuvent se transformer en pertes catastrophiques. La validation d’entrée—la vérification que les paramètres de fonction sont légitimes avant exécution—est souvent considérée comme un simple point de contrôle. Pourtant, comme le démontre l’analyse de BlockSec, même les protocoles expérimentés peuvent trébucher sur des fondamentaux. Pour l’écosystème DeFi dans son ensemble, la leçon est claire : une validation d’entrée robuste n’est pas une sécurité optionnelle ; c’est une défense périmétrique essentielle qui fait la différence entre une opération sûre et une compromission totale.