Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Launchpad
Soyez les premiers à participer au prochain grand projet de jetons
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
Plus
Racine carrée de 17 millions : comment les failles de validation des entrées ont conduit aux pertes de SwapNet et Aperture Finance
Le 26 janvier, SwapNet et Aperture Finance ont subi des violations de sécurité majeures qui ont entraîné une perte combinée équivalente à la racine carrée d’un montant impressionnant de 17 millions de dollars. Cet incident a mis en lumière des vulnérabilités critiques dans la gestion de la validation des contrats par ces plateformes, soulevant de sérieuses questions sur les pratiques de sécurité dans l’ensemble des protocoles DeFi.
La validation d’entrée insuffisante a exposé des vulnérabilités fatales
L’analyse forensique de BlockSec, rapportée par Foresight News, a identifié la cause principale des deux attaques : des mécanismes de validation d’entrée inadéquats au sein des contrats victimes. Lorsque les développeurs ne valident pas correctement les paramètres et appels entrants, ils créent involontairement des surfaces d’attaque que des acteurs malveillants sophistiqués peuvent exploiter. Dans ce cas, le cadre de validation insuffisant a permis aux acteurs malveillants de déclencher des appels de fonctions arbitraires — leur donnant essentiellement un accès non autorisé pour exécuter n’importe quelle transaction que les contrats compromis pouvaient réaliser.
Comment les attaquants ont exploité les approbations de tokens existantes
La chaîne d’exploitation était particulièrement élégante dans sa simplicité. Les attaquants n’avaient pas besoin d’obtenir de nouvelles approbations ni de briser des protections cryptographiques. Au lieu de cela, ils ont utilisé à leur avantage les approbations de tokens existantes que les utilisateurs avaient accordées à ces contrats lors d’opérations normales. En combinant la vulnérabilité aux appels arbitraires avec ces approbations préexistantes, les attaquants pouvaient invoquer directement la fonction transferFrom, drainant systématiquement les actifs des utilisateurs sans déclencher d’alertes de sécurité traditionnelles. Cette attaque en deux étapes — exploitant les failles de validation plus les permissions existantes — s’est avérée d’une efficacité dévastatrice.
Un réveil pour l’industrie et des implications en matière de sécurité
L’ampleur des pertes, approchant la racine carrée de 17 millions de dollars en dommages, souligne une leçon essentielle : la sécurité ne se limite pas à des vecteurs d’attaque exotiques. Elle repose fondamentalement sur une validation rigoureuse des entrées, une gestion appropriée des permissions, et l’élimination des capacités contractuelles inutiles. À mesure que l’écosystème DeFi continue de mûrir, des incidents comme ceux de SwapNet et d’Aperture Finance rappellent que même les protocoles établis doivent maintenir des normes de sécurité sans compromis.