Căn Bậc Hai của $17 Triệu: Các Lỗ Hổng Bảo Mật Được Phơi Bày trong SwapNet và Aperture Finance

MEV_Whisperer · 2026-02-05T05:02:49+00:00

Vi phạm bảo mật của các giao thức DeFi SwapNet và Aperture Finance vào ngày 26 tháng 1 năm 2026 đã dẫn đến thiệt hại $17 triệu đô la do kiểm tra đầu vào không đủ trong các hợp đồng thông minh. Sự cố này nhấn mạnh sự cần thiết của các biện pháp an ninh nghiêm ngặt và các thực hành tốt hơn trong hệ sinh thái tài chính phi tập trung.

MEV_Whisperer

2026-02-05 05:02:49

Đang tạo bản tóm tắt

Các giao thức DeFi SwapNet và Aperture Finance đã trải qua một vụ vi phạm an ninh nghiêm trọng vào ngày 26 tháng 1 năm 2026, dẫn đến thiệt hại 17 triệu đô la. Sự cố này làm nổi bật những điểm yếu nghiêm trọng trong cơ chế xác thực hợp đồng thông minh vẫn tiếp tục gây ra vấn đề trong hệ sinh thái tài chính phi tập trung. Các kiểm toán viên an ninh tại BlockSec đã quy kết vụ việc này do xác thực đầu vào không đủ, một lỗi tưởng chừng đơn giản nhưng đã tạo ra hậu quả thảm khốc cho người dùng và các giao thức.

Xác Thực Đầu Vào: Lớp Bảo Mật Bị Bỏ Qua

Nguyên nhân chính của cả hai cuộc tấn công tập trung vào việc xác thực đầu vào không đủ trong các hợp đồng bị tấn công. Theo phân tích kỹ thuật của BlockSec, được đưa tin bởi Foresight News, khoảng trống xác thực này đã khiến các hợp đồng thông minh dễ bị khai thác khả năng gọi hàm tùy ý—một lỗ hổng nguy hiểm cho phép kẻ tấn công thực thi các chức năng không mong muốn. Lỗi này trở nên đặc biệt nguy hiểm khi kết hợp với các quyền token đã được người dùng cấp cho các giao thức này.

Kẻ tấn công đã khai thác điểm yếu này bằng cách tận dụng các quyền token đã có sẵn và sử dụng chức năng transferFrom như vũ khí. Vì người dùng đã ủy quyền cho các hợp đồng này di chuyển token của họ, khả năng gọi hàm tùy ý đã cho phép kẻ tấn công vượt qua các quy trình giao dịch bình thường và rút sạch tài sản. Đây là một ví dụ điển hình về việc xác thực tồn tại, nhưng giới hạn ủy quyền lại bị thực thi kém.

Rủi Ro Hệ Thống và Ảnh Hưởng Rộng Hơn

Số tiền thiệt hại 17 triệu đô la bắt nguồn từ những điều lẽ ra có thể ngăn chặn được bằng các thực hành an ninh tiêu chuẩn. Xác thực đầu vào là nền tảng của an ninh hợp đồng thông minh—các nhà phát triển nên kiểm tra chặt chẽ tất cả các đầu vào của người dùng và các cuộc gọi hàm bên ngoài trước khi thực thi. Tuy nhiên, vụ việc này cho thấy ngay cả các giao thức đã được thiết lập cũng có thể bỏ qua các biện pháp bảo vệ nền tảng này, cho thấy còn tồn tại khoảng cách giữa các thực hành an ninh tốt nhất và việc thực thi chúng trong các dự án DeFi.

Mô hình khai thác này tiết lộ cách các kẻ tấn công hệ thốngatically săn lùng các lỗ hổng dựa trên quyền hạn này. Một khi quyền token đã được cấp cho một giao thức, an ninh của các tài sản đó hoàn toàn phụ thuộc vào khả năng sử dụng các quyền này một cách có trách nhiệm của hợp đồng. Một thất bại trong xác thực đầu vào hoàn toàn phá vỡ giả định này, biến các quyền của người dùng thành một gánh nặng thay vì một tính năng tiện lợi.

Những Bài Học Mà Các Dự Án DeFi Cần Nắm Vững

Sự cố này nhấn mạnh những bài học quan trọng cho lĩnh vực DeFi. Các giao thức phải thực hiện xác thực đầu vào nghiêm ngặt trước khi thực thi bất kỳ cuộc gọi hàm nào, duy trì nguyên tắc tối thiểu quyền hạn trong các khoản cấp token, và ưu tiên các cuộc kiểm toán an ninh từ các công ty uy tín như BlockSec trước khi triển khai chính thức. Người dùng, trong khi đó, cần thận trọng khi cấp quyền token không giới hạn và theo dõi các vị thế của họ trên nhiều giao thức khác nhau.

Xem bản gốc

Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.