Dasar
Spot
Perdagangkan kripto dengan bebas
Perdagangan Margin
Perbesar keuntungan Anda dengan leverage
Konversi & Investasi Otomatis
0 Fees
Perdagangkan dalam ukuran berapa pun tanpa biaya dan tanpa slippage
ETF
Dapatkan eksposur ke posisi leverage dengan mudah
Perdagangan Pre-Market
Perdagangkan token baru sebelum listing
Futures
Akses ribuan kontrak perpetual
TradFi
Emas
Satu platform aset tradisional global
Opsi
Hot
Perdagangkan Opsi Vanilla ala Eropa
Akun Terpadu
Memaksimalkan efisiensi modal Anda
Perdagangan Demo
Pengantar tentang Perdagangan Futures
Bersiap untuk perdagangan futures Anda
Acara Futures
Gabung acara & dapatkan hadiah
Perdagangan Demo
Gunakan dana virtual untuk merasakan perdagangan bebas risiko
Peluncuran
CandyDrop
Koleksi permen untuk mendapatkan airdrop
Launchpool
Staking cepat, dapatkan token baru yang potensial
HODLer Airdrop
Pegang GT dan dapatkan airdrop besar secara gratis
Launchpad
Jadi yang pertama untuk proyek token besar berikutnya
Poin Alpha
Perdagangkan aset on-chain, raih airdrop
Poin Futures
Dapatkan poin futures dan klaim hadiah airdrop
Investasi
Simple Earn
Dapatkan bunga dengan token yang menganggur
Investasi Otomatis
Investasi otomatis secara teratur
Investasi Ganda
Keuntungan dari volatilitas pasar
Soft Staking
Dapatkan hadiah dengan staking fleksibel
Pinjaman Kripto
0 Fees
Menjaminkan satu kripto untuk meminjam kripto lainnya
Pusat Peminjaman
Hub Peminjaman Terpadu
Lainnya
$17 Kerugian sebesar 1 Juta Mengungkap Celah Validasi Input yang Krusial di SwapNet dan Aperture Finance
Pada 26 Januari, dua protokol DeFi—SwapNet dan Aperture Finance—menjadi korban serangan terkoordinasi yang menguras total $17 juta dari cadangan mereka. Peneliti keamanan di BlockSec, yang menganalisis insiden tersebut untuk Foresight News, menemukan sebuah kelemahan umum namun menghancurkan di inti kedua pelanggaran tersebut: validasi input yang tidak memadai dalam kontrak pintar mereka.
Kerentanan: Validasi Input Lemah Membuka Pintu
Akar penyebabnya kembali ke perlindungan yang tidak cukup dalam cara kontrak korban memproses panggilan fungsi yang masuk. Kelemahan ini memungkinkan penyerang menjalankan panggilan fungsi sewenang-wenang terhadap kontrak, secara efektif mendapatkan akses tidak sah ke logika internal mereka. Alih-alih membangun eksploitasi serangan khusus dari awal, aktor jahat memanfaatkan pendekatan yang lebih elegan—mereka memanfaatkan izin token yang sudah diberikan kepada protokol ini.
Bagaimana Persetujuan Token yang Ada Menjadi Liabilitas
Mekanisme serangan mengeksploitasi pola dasar DeFi: persetujuan token. Pengguna secara rutin memberikan izin kepada kontrak pintar untuk menghabiskan token mereka melalui fungsi transferFrom, sebuah praktik standar dalam interaksi DEX dan yield farming. Dalam kasus ini, penyerang menggunakan kelemahan validasi input untuk menyamar sebagai transaksi yang sah, memicu panggilan transferFrom yang menguras token langsung dari dompet pengguna dan cadangan protokol. Kontrak, yang tidak mampu memvalidasi dengan benar operasi apa yang sebenarnya diminta, menjalankan transfer berbahaya ini tanpa perlawanan.
Apa yang Diungkapkan tentang Keamanan DeFi
Insiden sebesar $17 juta ini menegaskan bagaimana kelalaian arsitektural dalam desain kontrak dapat berakumulasi menjadi kerugian yang katastrofik. Validasi input—memastikan bahwa parameter fungsi adalah sah sebelum dieksekusi—sering dianggap sebagai item daftar periksa dasar. Namun seperti yang ditunjukkan oleh analisis BlockSec, bahkan protokol yang berpengalaman pun bisa tersandung pada hal-hal fundamental. Untuk ekosistem DeFi yang lebih luas, pelajaran yang tegas adalah: validasi input yang kokoh bukanlah sekadar keamanan tambahan; ini adalah pertahanan perimeter penting yang menentukan perbedaan antara keamanan operasional dan kompromi total.