Ф'ючерси
Сотні безстрокових контрактів
TradFi
Золото
Одна платформа для світових активів
Опціони
Hot
Торгівля ванільними опціонами європейського зразка
Єдиний рахунок
Максимізуйте ефективність вашого капіталу
Демо торгівля
Вступ до ф'ючерсної торгівлі
Підготуйтеся до ф’ючерсної торгівлі
Ф'ючерсні події
Заробляйте, беручи участь в подіях
Демо торгівля
Використовуйте віртуальні кошти для безризикової торгівлі
Запуск
CandyDrop
Збирайте цукерки, щоб заробити аірдропи
Launchpool
Швидкий стейкінг, заробляйте нові токени
HODLer Airdrop
Утримуйте GT і отримуйте масові аірдропи безкоштовно
Launchpad
Будьте першими в наступному великому проекту токенів
Alpha Поінти
Ончейн-торгівля та аірдропи
Ф'ючерсні бали
Заробляйте фʼючерсні бали та отримуйте аірдроп-винагороди
Інвестиції
Simple Earn
Заробляйте відсотки за допомогою неактивних токенів
Автоінвестування
Автоматичне інвестування на регулярній основі
Подвійні інвестиції
Прибуток від волатильності ринку
Soft Staking
Earn rewards with flexible staking
Криптопозика
0 Fees
Заставте одну криптовалюту, щоб позичити іншу
Центр кредитування
Єдиний центр кредитування
Центр багатства VIP
Преміальні плани зростання капіталу
Управління приватним капіталом
Розподіл преміальних активів
Квантовий фонд
Квантові стратегії найвищого рівня
Стейкінг
Стейкайте криптовалюту, щоб заробляти на продуктах PoS
Розумне кредитне плече
New
Кредитне плече без ліквідації
Випуск GUSD
Мінтинг GUSD для прибутку RWA
Більше
Критичні недоліки у валідації введених даних залишають SwapNet та Aperture Finance з $17M збитками
Два протоколи DeFi зазнали серйозних фінансових втрат 26 січня, коли вразливості у їхніх смарт-контрактах були використані зловмисниками. Інцидент призвів до сумарних збитків понад 17 мільйонів доларів, що викликало нові побоювання щодо механізмів валідації у децентралізованих фінансах. За аналізом BlockSec, основна слабкість полягала у недостатній процедурі перевірки вхідних даних у постраждалих протоколах.
Розуміння технічної вразливості
Основна проблема полягала у недостатній перевірці вхідних даних у постраждалих смарт-контрактах. Ця конструктивна помилка створила лазівку для довільних викликів функцій — техніки, яка дозволяє зловмисникам виконувати непередбачені операції на протоколі. Замість того, щоб запускати складну атаку з нуля, зловмисники скористалися існуючими дозволами на токени, які користувачі раніше надавали цим контрактам. Це стало критичною помилкою у системі безпеки обох платформ.
Як зловмисники використали дозволи на токени
Шлях експлуатації був прямим, але руйнівним. Зловмисники використали функцію transferFrom, стандартну операцію ERC-20, для несанкціонованого виведення коштів з гаманців користувачів. Недоліки у логіці валідації означали, що не існувало механізму запобігання цим несподіваним викликам функцій. Оскільки користувачі вже надали цим контрактам дозвіл переміщати токени під час звичайних операцій, зловмисники просто перенаправили ці дозволи на масові зняття.
Що це означає для майбутнього DeFi
Цей інцидент підкреслює повторювану тенденцію: вразливості у валідації вхідних даних залишаються одними з найнебезпечніших у розробці смарт-контрактів. Втрата понад 17 мільйонів доларів є яскравим нагадуванням, що навіть усталені протоколи можуть містити критичні слабкості. Для ширшої екосистеми DeFi випадок SwapNet і Aperture Finance демонструє, чому ретельні аудити коду, формальна верифікація та багаторівневі системи валідації вже не є опцією, а необхідною передумовою для будь-якого протоколу, що оперує значними активами користувачів.