Ф'ючерси
Сотні безстрокових контрактів
TradFi
Золото
Одна платформа для світових активів
Опціони
Hot
Торгівля ванільними опціонами європейського зразка
Єдиний рахунок
Максимізуйте ефективність вашого капіталу
Демо торгівля
Вступ до ф'ючерсної торгівлі
Підготуйтеся до ф’ючерсної торгівлі
Ф'ючерсні події
Заробляйте, беручи участь в подіях
Демо торгівля
Використовуйте віртуальні кошти для безризикової торгівлі
Запуск
CandyDrop
Збирайте цукерки, щоб заробити аірдропи
Launchpool
Швидкий стейкінг, заробляйте нові токени
HODLer Airdrop
Утримуйте GT і отримуйте масові аірдропи безкоштовно
Launchpad
Будьте першими в наступному великому проекту токенів
Alpha Поінти
Ончейн-торгівля та аірдропи
Ф'ючерсні бали
Заробляйте фʼючерсні бали та отримуйте аірдроп-винагороди
Інвестиції
Simple Earn
Заробляйте відсотки за допомогою неактивних токенів
Автоінвестування
Автоматичне інвестування на регулярній основі
Подвійні інвестиції
Прибуток від волатильності ринку
Soft Staking
Earn rewards with flexible staking
Криптопозика
0 Fees
Заставте одну криптовалюту, щоб позичити іншу
Центр кредитування
Єдиний центр кредитування
Центр багатства VIP
Преміальні плани зростання капіталу
Управління приватним капіталом
Розподіл преміальних активів
Квантовий фонд
Квантові стратегії найвищого рівня
Стейкінг
Стейкайте криптовалюту, щоб заробляти на продуктах PoS
Розумне кредитне плече
New
Кредитне плече без ліквідації
Випуск GUSD
Мінтинг GUSD для прибутку RWA
Більше
Квадратний корінь з 17 мільйонів: як помилки валідації введення призвели до збитків SwapNet та Aperture Finance
26 січня SwapNet та Aperture Finance зазнали значних зломів безпеки, що призвело до загальної втрати, яка дорівнює квадратному кореню від вражаючої суми у $17 мільйонів. Цей інцидент виявив критичні вразливості у тому, як ці платформи обробляли валідацію контрактів, піднявши серйозні питання щодо практик безпеки у протоколах DeFi.
Недостатня валідація вхідних даних виявила фатальні вразливості
Форенсик-аналіз BlockSec, повідомлений Foresight News, визначив основну причину обох атак: недостатні механізми валідації вхідних даних у контрактах жертв. Коли розробники неправильно валідовують вхідні параметри та виклики, вони випадково створюють поверхні для атак, які можуть використовувати складні загрози. У цьому випадку недостатня система валідації дозволила зловмисникам викликати довільні функції — фактично надаючи їм несанкціонований доступ до виконання будь-яких транзакцій, які могли виконати зламані контракти.
Як зловмисники використовували існуючі дозволи на токени
Цикл експлуатації був особливо елегантним у своїй простоті. Зловмисники не потребували отримання нових дозволів або зламу криптографічних захистів. Замість цього вони використали існуючі дозволи на токени, які користувачі надавали цим контрактам під час звичайної роботи. Поєднавши вразливість довільних викликів із цими попередніми дозволами, зловмисники могли викликати функцію transferFrom безпосередньо, систематично висмоктуючи активи користувачів без сповіщень про традиційні заходи безпеки. Ця двоетапна атака — використання недоліків у валідації разом із існуючими дозволами — виявилася надзвичайно ефективною.
Попереджувальний сигнал для галузі та наслідки для безпеки
Масштаб втрат, що наближається до квадратного кореню від 17 мільйонів доларів збитків, підкреслює важливий урок: безпека — це не лише про екзотичні вектори атак. Це, перш за все, про строгий контроль вхідних даних, правильне визначення дозволів і усунення непотрібних можливостей контрактів. Оскільки екосистема DeFi продовжує розвиватися, інциденти, як злом SwapNet і Aperture Finance, слугують нагадуванням про те, що навіть усталені протоколи повинні дотримуватися безкомпромісних стандартів безпеки.