Фьючерсы
Доступ к сотням фьючерсов
TradFi
Золото
Одна платформа мировых активов
Опционы
Hot
Торги опционами Vanilla в европейском стиле
Единый счет
Увеличьте эффективность вашего капитала
Демо-торговля
Введение в торговлю фьючерсами
Подготовьтесь к торговле фьючерсами
Фьючерсные события
Получайте награды в событиях
Демо-торговля
Используйте виртуальные средства для торговли без риска
Запуск
CandyDrop
Собирайте конфеты, чтобы заработать аирдропы
Launchpool
Быстрый стейкинг, заработайте потенциальные новые токены
HODLer Airdrop
Удерживайте GT и получайте огромные аирдропы бесплатно
Launchpad
Будьте готовы к следующему крупному токен-проекту
Alpha Points
Торгуйте и получайте аирдропы
Фьючерсные баллы
Зарабатывайте баллы и получайте награды аирдропа
Инвестиции
Simple Earn
Зарабатывайте проценты с помощью неиспользуемых токенов
Автоинвест.
Автоинвестиции на регулярной основе.
Бивалютные инвестиции
Доход от волатильности рынка
Мягкий стейкинг
Получайте вознаграждения с помощью гибкого стейкинга
Криптозаймы
0 Fees
Заложите одну криптовалюту, чтобы занять другую
Центр кредитования
Единый центр кредитования
Еще
Квадратный корень 17 миллионов: как ошибки валидации ввода привели к потерям SwapNet и Aperture Finance
26 января SwapNet и Aperture Finance столкнулись с серьезными нарушениями безопасности, в результате которых общий ущерб составил корень из ошеломляющей суммы в $17 миллионов. Этот инцидент выявил критические уязвимости в способе обработки контрактами валидации, вызывая серьезные вопросы о практике безопасности в рамках DeFi-протоколов.
Недостаточная проверка входных данных выявила фатальные уязвимости
Форензик-анализ BlockSec, о котором сообщили Foresight News, выявил основную причину обеих атак: недостаточные механизмы проверки входных данных в пострадавших контрактах. Когда разработчики неправильно валидируют входящие параметры и вызовы, они непреднамеренно создают поверхности для атак, которые могут использовать продвинутые злоумышленники. В данном случае недостаточная система валидации позволила злоумышленникам инициировать произвольные вызовы функций — по сути, предоставляя им несанкционированный доступ к выполнению любых транзакций, которые могли выполнять скомпрометированные контракты.
Как злоумышленники использовали существующие разрешения токенов
Цепочка эксплуатации была особенно элегантной своей простотой. Злоумышленникам не нужно было получать новые разрешения или взламывать криптографические защиты. Вместо этого они использовали существующие разрешения токенов, которые пользователи предоставили этим контрактам в ходе обычных операций. Объединив уязвимость произвольных вызовов с этими уже существующими разрешениями, злоумышленники могли напрямую вызывать функцию transferFrom, систематически выводя активы пользователей без срабатывания традиционных систем безопасности. Эта двухэтапная атака — использование уязвимостей в валидации и существующих разрешений — оказалась чрезвычайно эффективной.
Предупреждение отрасли и последствия для безопасности
Масштаб потерь, приближающихся к корню из 17 миллионов долларов ущерба, подчеркивает важный урок: безопасность — это не только экзотические векторы атак. В первую очередь, речь идет о строгой проверке входных данных, правильной настройке разрешений и устранении ненужных возможностей контрактов. По мере развития экосистемы DeFi инциденты, подобные взломам SwapNet и Aperture Finance, служат напоминанием о том, что даже устоявшиеся протоколы должны придерживаться безкомпромиссных стандартов безопасности.