Фьючерсы
Доступ к сотням фьючерсов
TradFi
Золото
Одна платформа мировых активов
Опционы
Hot
Торги опционами Vanilla в европейском стиле
Единый счет
Увеличьте эффективность вашего капитала
Демо-торговля
Введение в торговлю фьючерсами
Подготовьтесь к торговле фьючерсами
Фьючерсные события
Получайте награды в событиях
Демо-торговля
Используйте виртуальные средства для торговли без риска
Запуск
CandyDrop
Собирайте конфеты, чтобы заработать аирдропы
Launchpool
Быстрый стейкинг, заработайте потенциальные новые токены
HODLer Airdrop
Удерживайте GT и получайте огромные аирдропы бесплатно
Launchpad
Будьте готовы к следующему крупному токен-проекту
Alpha Points
Торгуйте и получайте аирдропы
Фьючерсные баллы
Зарабатывайте баллы и получайте награды аирдропа
Инвестиции
Simple Earn
Зарабатывайте проценты с помощью неиспользуемых токенов
Автоинвест.
Автоинвестиции на регулярной основе.
Бивалютные инвестиции
Доход от волатильности рынка
Мягкий стейкинг
Получайте вознаграждения с помощью гибкого стейкинга
Криптозаймы
0 Fees
Заложите одну криптовалюту, чтобы занять другую
Центр кредитования
Единый центр кредитования
Еще
$17 Миллионный убыток выявляет критический пробел в проверке входных данных в SwapNet и Aperture Finance
26 января два протокола DeFi — SwapNet и Aperture Finance — стали жертвами скоординированных атак, в результате которых было украдено в общей сложности 17 миллионов долларов из их казначейств. Исследователи безопасности из BlockSec, анализировавшие инцидент для Foresight News, выявили общую, но разрушительную уязвимость, лежащую в основе обеих атак: недостаточную проверку входных данных в их смарт-контрактах.
Уязвимость: слабая проверка входных данных открывает дверь
Истоки проблемы уходят в недостаточную защиту при обработке входящих вызовов функций жертвенных контрактов. Эта уязвимость позволила злоумышленникам выполнять произвольные вызовы функций против контрактов, фактически получая несанкционированный доступ к их внутренней логике. Вместо того чтобы создавать индивидуальные эксплойты с нуля, злоумышленники использовали более элегантный подход — они использовали существующие разрешения на токены, уже предоставленные этим протоколам.
Как существующие разрешения на токены стали уязвимостью
Механизм атаки эксплуатировал фундаментальную модель DeFi: разрешения на токены. Пользователи регулярно предоставляют смарт-контрактам разрешение тратить их токены через функцию transferFrom, что является стандартной практикой при взаимодействии с DEX и фарминге доходности. В данном случае злоумышленники использовали недостатки в проверке входных данных, чтобы выдавать себя за легитимные транзакции, вызывая transferFrom, которые напрямую выводили токены из кошельков пользователей и резервов протокола. Контракты, неспособные правильно проверить запрашиваемые операции, выполняли эти вредоносные переводы без сопротивления.
Что это говорит о безопасности DeFi
Инцидент на сумму 17 миллионов долларов подчеркивает, как архитектурные просчеты в проектировании контрактов могут привести к катастрофическим потерям. Проверка входных данных — подтверждение того, что параметры функции являются допустимыми перед выполнением — часто считается простым пунктом чек-листа. Однако, как показывает анализ BlockSec, даже опытные протоколы могут ошибаться в фундаментальных вещах. Для более широкой экосистемы DeFi важен однозначный урок: надежная проверка входных данных — это не опциональный элемент безопасности, а необходимая защита периметра, которая определяет разницу между безопасной эксплуатацией и полным компрометацией.