Cơ bản
Giao ngay
Giao dịch tiền điện tử một cách tự do
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Chuyển đổi và Đầu tư định kỳ
0 Fees
Giao dịch bất kể khối lượng không mất phí không trượt giá
ETF
Sản phẩm ETF có thuộc tính đòn bẩy giao dịch giao ngay không cần vay không cháy tải khoản
Giao dịch trước giờ mở cửa
Giao dịch token mới trước niêm yết
Futures
Truy cập hàng trăm hợp đồng vĩnh cửu
TradFi
Vàng
Một nền tảng cho tài sản truyền thống
Quyền chọn
Hot
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Giới thiệu về Giao dịch hợp đồng tương lai
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia sự kiện để nhận phần thưởng
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Launchpad
Đăng ký sớm dự án token lớn tiếp theo
Điểm Alpha
Giao dịch trên chuỗi và nhận airdrop
Điểm Futures
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Kiếm lợi nhuận từ biến động thị trường
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Thêm
Căn bậc hai của 17 triệu: Những lỗi xác thực đầu vào đã dẫn đến thiệt hại của SwapNet và Aperture Finance
Vào ngày 26 tháng 1, SwapNet và Aperture Finance đã trải qua các vụ vi phạm an ninh nghiêm trọng dẫn đến tổng thiệt hại bằng căn bậc hai của một con số đáng kinh ngạc là 17 triệu đô la. Sự cố này đã phơi bày những lỗ hổng nghiêm trọng trong cách các nền tảng này xử lý xác thực hợp đồng, đặt ra những câu hỏi nghiêm trọng về các thực hành bảo mật trong các giao thức DeFi.
Việc xác thực đầu vào không đủ đã phơi bày các lỗ hổng chết người
Phân tích pháp y của BlockSec, được báo cáo bởi Foresight News, đã xác định nguyên nhân gốc rễ của cả hai cuộc tấn công: cơ chế xác thực đầu vào không đầy đủ trong các hợp đồng bị tấn công. Khi các nhà phát triển không xác thực đúng các tham số và cuộc gọi đến, họ vô tình tạo ra các bề mặt tấn công mà các tác nhân đe dọa tinh vi có thể khai thác. Trong trường hợp này, khung xác thực không đủ đã cho phép các tác nhân độc hại kích hoạt các cuộc gọi hàm tùy ý—về cơ bản cho phép họ truy cập trái phép để thực hiện bất kỳ giao dịch nào mà các hợp đồng bị xâm phạm có thể thực hiện.
Cách các kẻ tấn công lợi dụng các quyền token đã có
Chuỗi khai thác đặc biệt tinh tế trong sự đơn giản của nó. Các kẻ tấn công không cần phải có được các quyền mới hoặc phá vỡ các biện pháp bảo vệ mã hóa. Thay vào đó, họ đã sử dụng vũ khí các quyền token đã có mà người dùng đã cấp cho các hợp đồng này trong quá trình hoạt động bình thường. Bằng cách kết hợp lỗ hổng gọi hàm tùy ý với các quyền đã có sẵn này, các kẻ tấn công có thể gọi trực tiếp hàm transferFrom, từ đó rút sạch tài sản của người dùng mà không kích hoạt các cảnh báo bảo mật truyền thống. Cuộc tấn công hai bước này—tận dụng các lỗi xác thực cộng với các quyền đã có—đã chứng minh hiệu quả vô cùng đáng sợ.
Thức tỉnh ngành và các tác động về bảo mật
Quy mô thiệt hại, gần bằng căn bậc hai của 17 triệu đô la, nhấn mạnh một bài học quan trọng: bảo mật không chỉ đơn thuần về các vector tấn công kỳ lạ. Thay vào đó, nó về cơ bản là xác thực đầu vào nghiêm ngặt, phạm vi quyền hợp lý và loại bỏ các khả năng hợp đồng không cần thiết. Khi hệ sinh thái DeFi tiếp tục trưởng thành, các sự cố như vi phạm của SwapNet và Aperture Finance nhắc nhở rằng ngay cả các giao thức đã được thiết lập cũng phải duy trì các tiêu chuẩn bảo mật không khoan nhượng.