Квадратный корень из $17 миллионов: выявлены уязвимости безопасности в SwapNet и Aperture Finance

DeFi-протоколы SwapNet и Aperture Finance столкнулись с разрушительным взломом безопасности 26 января 2026 года, в результате которого было украдено 17 миллионов долларов. Инцидент выявил критические слабости в механизмах проверки смарт-контрактов, которые продолжают преследовать экосистему децентрализованных финансов. Аудиторы безопасности из BlockSec связали этот инцидент с недостаточной проверкой входных данных — казалось бы, простой уязвимостью, которая привела к катастрофическим последствиям для пользователей и протоколов.

Проверка входных данных: недооценённый уровень безопасности

Основной причиной обеих атак стала недостаточная проверка входных данных в пострадавших контрактах. Согласно техническому анализу BlockSec, опубликованному Foresight News, этот пробел в проверке сделал смарт-контракты уязвимыми для произвольных вызовов — опасной уязвимости, позволяющей злоумышленникам выполнять нежелательные функции. Эта уязвимость становится особенно опасной в сочетании с существующими разрешениями на токены, предоставленными пользователями этим протоколам.

Злоумышленники использовали эту слабость, эксплуатируя уже предоставленные разрешения на токены и используя функцию transferFrom. Поскольку пользователи уже авторизовали эти контракты на перемещение своих токенов, возможность произвольных вызовов позволила злоумышленникам обходить обычные транзакционные процессы и напрямую выводить активы. Это классический случай, когда аутентификация есть, но границы авторизации плохо реализованы.

Системные риски и более широкие последствия

Потеря в 17 миллионов долларов произошла из-за того, что это должно было быть предотвращено стандартными мерами безопасности. Проверка входных данных — фундаментальный аспект безопасности смарт-контрактов: разработчики должны строго проверять все пользовательские вводы и внешние вызовы функций перед выполнением. Однако этот инцидент показывает, что даже проверенные протоколы могут упускать эти базовые меры, что свидетельствует о разрыве между лучшими практиками безопасности и их реализацией в проектах DeFi.

Модель эксплуатации показывает, как злоумышленники систематически ищут такие уязвимости, основанные на разрешениях. Как только разрешения на токены предоставлены протоколу, безопасность этих активов полностью зависит от способности контракта ответственно использовать эти разрешения. Неудача в проверке входных данных полностью подрывает это предположение, превращая пользовательские разрешения в уязвимость, а не в удобство.

Чему должны научиться проекты DeFi

Этот инцидент подчеркивает важные уроки для сектора DeFi. Протоколы должны внедрять строгую проверку входных данных перед выполнением любых вызовов функций, соблюдать принцип минимальных привилегий при установке разрешений на токены и проводить аудит безопасности у авторитетных компаний, таких как BlockSec, перед запуском в основной сети. Пользователи, в свою очередь, должны быть осторожны при предоставлении неограниченных разрешений на токены и следить за своими позициями в различных протоколах.