Ф'ючерси
Сотні безстрокових контрактів
TradFi
Золото
Одна платформа для світових активів
Опціони
Hot
Торгівля ванільними опціонами європейського зразка
Єдиний рахунок
Максимізуйте ефективність вашого капіталу
Демо торгівля
Вступ до ф'ючерсної торгівлі
Підготуйтеся до ф’ючерсної торгівлі
Ф'ючерсні події
Заробляйте, беручи участь в подіях
Демо торгівля
Використовуйте віртуальні кошти для безризикової торгівлі
Запуск
CandyDrop
Збирайте цукерки, щоб заробити аірдропи
Launchpool
Швидкий стейкінг, заробляйте нові токени
HODLer Airdrop
Утримуйте GT і отримуйте масові аірдропи безкоштовно
Launchpad
Будьте першими в наступному великому проекту токенів
Alpha Поінти
Ончейн-торгівля та аірдропи
Ф'ючерсні бали
Заробляйте фʼючерсні бали та отримуйте аірдроп-винагороди
Інвестиції
Simple Earn
Заробляйте відсотки за допомогою неактивних токенів
Автоінвестування
Автоматичне інвестування на регулярній основі
Подвійні інвестиції
Прибуток від волатильності ринку
Soft Staking
Earn rewards with flexible staking
Криптопозика
0 Fees
Заставте одну криптовалюту, щоб позичити іншу
Центр кредитування
Єдиний центр кредитування
Центр багатства VIP
Преміальні плани зростання капіталу
Управління приватним капіталом
Розподіл преміальних активів
Квантовий фонд
Квантові стратегії найвищого рівня
Стейкінг
Стейкайте криптовалюту, щоб заробляти на продуктах PoS
Розумне кредитне плече
New
Кредитне плече без ліквідації
Випуск GUSD
Мінтинг GUSD для прибутку RWA
Більше
$17 Мільйонний збиток виявляє критичний недолік у валідації введення даних у SwapNet та Aperture Finance, що ставить під загрозу безпеку системи та її стабільність. Це свідчить про необхідність негайного перегляду та посилення механізмів перевірки введених користувачем даних для запобігання потенційним атакам і збоям.
26 січня два протоколи DeFi—SwapNet та Aperture Finance—стали жертвами скоординованих атак, у результаті яких було вкрадено сумарно 17 мільйонів доларів із їхніх казначейств. Інженери з безпеки компанії BlockSec, аналізуючи інцидент для Foresight News, виявили спільну, але руйнівну ваду, яка лежить в основі обох зломів: недостатню перевірку вхідних даних у їхніх смарт-контрактах.
Уразливість: слабка перевірка вхідних даних відкриває двері
Причина криється у недостатніх заходах безпеки щодо обробки вхідних викликів функцій у жертвенних контрактах. Ця вразливість дозволила зловмисникам виконувати довільні виклики функцій проти контрактів, фактично отримуючи несанкціонований доступ до їхньої внутрішньої логіки. Замість створювати нові експлойти з нуля, зловмисники скористалися більш елегантним підходом — вони використали вже існуючі дозволи на токени, які були надані цим протоколам.
Як існуючі дозволи на токени стали вразливістю
Механізм атаки базувався на фундаментальній схемі DeFi: дозволах на токени. Користувачі регулярно надають смарт-контрактам дозвіл витрачати їхні токени через функцію transferFrom, що є стандартною практикою у взаємодії з децентралізованими біржами та фермерством доходів. У цьому випадку зловмисники використали недоліки у перевірці вхідних даних, щоб видавати себе за легітимні транзакції, викликаючи transferFrom, що призводило до витоку токенів безпосередньо з гаманців користувачів і резервів протоколів. Контракти, неспроможні правильно перевірити, які операції фактично запитуються, виконували ці зловмисні перекази без опору.
Що це відкриває про безпеку DeFi
Інцидент із 17 мільйонів доларів підкреслює, як архітектурні недоліки у дизайні контрактів можуть призвести до катастрофічних втрат. Перевірка вхідних даних — підтвердження того, що параметри функцій є легітимними перед їх виконанням — часто вважається базовим пунктом чеклісту. Однак, як показує аналіз BlockSec, навіть досвідчені протоколи можуть спотикатися на основах. Для ширшої екосистеми DeFi урок є ясним: надійна перевірка вхідних даних — це не опціональна безпека-театральність; це необхідний периметральний захист, який визначає різницю між операційною безпекою та повним компрометом.