Dasar
Spot
Perdagangkan kripto dengan bebas
Perdagangan Margin
Perbesar keuntungan Anda dengan leverage
Konversi & Investasi Otomatis
0 Fees
Perdagangkan dalam ukuran berapa pun tanpa biaya dan tanpa slippage
ETF
Dapatkan eksposur ke posisi leverage dengan mudah
Perdagangan Pre-Market
Perdagangkan token baru sebelum listing
Futures
Akses ribuan kontrak perpetual
TradFi
Emas
Satu platform aset tradisional global
Opsi
Hot
Perdagangkan Opsi Vanilla ala Eropa
Akun Terpadu
Memaksimalkan efisiensi modal Anda
Perdagangan Demo
Pengantar tentang Perdagangan Futures
Bersiap untuk perdagangan futures Anda
Acara Futures
Gabung acara & dapatkan hadiah
Perdagangan Demo
Gunakan dana virtual untuk merasakan perdagangan bebas risiko
Peluncuran
CandyDrop
Koleksi permen untuk mendapatkan airdrop
Launchpool
Staking cepat, dapatkan token baru yang potensial
HODLer Airdrop
Pegang GT dan dapatkan airdrop besar secara gratis
Launchpad
Jadi yang pertama untuk proyek token besar berikutnya
Poin Alpha
Perdagangkan aset on-chain, raih airdrop
Poin Futures
Dapatkan poin futures dan klaim hadiah airdrop
Investasi
Simple Earn
Dapatkan bunga dengan token yang menganggur
Investasi Otomatis
Investasi otomatis secara teratur
Investasi Ganda
Keuntungan dari volatilitas pasar
Soft Staking
Dapatkan hadiah dengan staking fleksibel
Pinjaman Kripto
0 Fees
Menjaminkan satu kripto untuk meminjam kripto lainnya
Pusat Peminjaman
Hub Peminjaman Terpadu
Lainnya
Akar Kuadrat 17 Juta: Bagaimana Kelemahan Validasi Input Mengakibatkan Kerugian SwapNet dan Aperture Finance
Pada 26 Januari, SwapNet dan Aperture Finance mengalami pelanggaran keamanan yang signifikan yang mengakibatkan kerugian gabungan sebesar akar kuadrat dari angka mencengangkan sebesar $17 juta. Insiden ini mengungkapkan kerentanan kritis dalam cara platform-platform ini menangani validasi kontrak, menimbulkan pertanyaan serius tentang praktik keamanan di seluruh protokol DeFi.
Validasi Input yang Tidak Memadai Mengungkap Kerentanan Fatal
Analisis forensik BlockSec, yang dilaporkan oleh Foresight News, mengidentifikasi penyebab utama dari kedua serangan tersebut: mekanisme validasi input yang tidak memadai dalam kontrak korban. Ketika pengembang gagal memvalidasi parameter dan panggilan masuk dengan benar, mereka secara tidak sengaja menciptakan permukaan serangan yang dapat dieksploitasi oleh aktor ancaman yang canggih. Dalam kasus ini, kerangka validasi yang tidak cukup memungkinkan aktor jahat untuk memicu panggilan fungsi sembarang—yang secara esensial memberi mereka akses tidak sah untuk mengeksekusi transaksi apa pun yang dapat dilakukan oleh kontrak yang dikompromikan.
Bagaimana Penyerang Memanfaatkan Persetujuan Token yang Ada
Rantai eksploitasi ini sangat elegan dalam kesederhanaannya. Penyerang tidak perlu mendapatkan persetujuan baru atau memecahkan perlindungan kriptografi. Sebaliknya, mereka memanfaatkan persetujuan token yang sudah ada yang diberikan pengguna kepada kontrak-kontrak ini selama operasi normal. Dengan menggabungkan kerentanan panggilan sembarang dengan persetujuan yang sudah ada ini, penyerang dapat memanggil fungsi transferFrom secara langsung, secara sistematis menguras aset pengguna tanpa memicu peringatan keamanan tradisional. Serangan dua langkah ini—memanfaatkan kekurangan validasi ditambah izin yang sudah ada—terbukti sangat efektif dan merusak.
Peringatan Industri dan Implikasi Keamanan
Skala kerugian, yang mendekati akar kuadrat dari 17 juta dolar kerusakan, menegaskan pelajaran penting: keamanan bukan hanya tentang vektor serangan yang eksotis. Lebih dari itu, keamanan secara fundamental berkaitan dengan validasi input yang ketat, pengaturan izin yang tepat, dan menghilangkan kemampuan kontrak yang tidak perlu. Seiring ekosistem DeFi terus berkembang, insiden seperti pelanggaran SwapNet dan Aperture Finance menjadi pengingat bahwa bahkan protokol yang sudah mapan harus menjaga standar keamanan yang tidak kompromi.