$17 百萬損失揭露SwapNet與Aperture Finance在輸入驗證方面的關鍵漏洞，這一漏洞可能導致系統受到攻擊或數據被篡改，凸顯了加強安全措施的重要性。

2024年1月26日，兩個去中心化金融（DeFi）協議——SwapNet 和 Aperture Finance——遭遇協調攻擊，合計從其金庫中盜取了1,700萬美元。BlockSec的安全研究人員在為Foresight News分析此事件時，發現兩次攻擊的共同且致命的漏洞：智能合約中驗證輸入的措施不足。

漏洞：弱驗證輸入打開大門

根本原因追溯到受害合約在處理傳入函數調用時缺乏充分的安全措施。這一弱點使攻擊者能夠對合約執行任意函數調用，實質上獲得未經授權的內部邏輯存取權。攻擊者並未從零開始設計專屬攻擊手法，而是利用一個更巧妙的方法——他們將已授予這些協議的現有代幣許可權武器化。

現有代幣授權如何成為負擔

此次攻擊利用了一個基本的DeFi模式：代幣授權。用戶經常通過transferFrom函數授權智能合約花費他們的代幣，這是去中心化交易所（DEX）和收益農場的標準操作。在此案例中，攻擊者利用驗證輸入的漏洞，偽裝成合法交易，觸發transferFrom調用，直接從用戶錢包和協議儲備中轉移代幣。由於合約無法正確驗證請求的操作內容，這些惡意轉移得以不受阻礙地執行。

這反映了DeFi安全的哪些問題

這起1,700萬美元的事件凸顯了合約設計中的架構疏忽如何導致災難性損失。驗證輸入——在執行前確認函數參數的合法性——常被視為基本清單項目。然而，BlockSec的分析證明，即使是經驗豐富的協議也可能在基本原則上失誤。對於更廣泛的DeFi生態系統來說，教訓十分明確：強健的輸入驗證不是可選的安全表演，而是決定運營安全與完全被攻破之間的關鍵防線。