BlockSec Phát Hành Phân Tích Lỗ Hổng Nghiêm Trọng Trong Hợp Đồng Mã Nguồn Đóng: SwapNet và Aperture Finance Bị Tấn Công, Thiệt Hại 17 Triệu USD Do Xác Thực Đầu Vào Không Đầy Đủ

Tin tức từ Odaily BlockSec đã phát hành một phân tích về lỗ hổng nghiêm trọng trong hợp đồng mã nguồn đóng, phát hiện một loạt giao dịch đáng ngờ nhắm vào các hợp đồng bị ảnh hưởng của SwapNet và Aperture Finance được triển khai trên Ethereum, Arbitrum, Base và BSC, với tổng thiệt hại vượt quá 17 triệu USD. Về cơ bản, nguyên nhân gốc rễ của cả hai sự kiện này khá đơn giản: các hợp đồng bị ảnh hưởng có lỗ hổng cho phép gọi hàm tùy ý do xác thực đầu vào không đầy đủ, kẻ tấn công có thể lợi dụng lỗ hổng này để lạm dụng sự ủy quyền token hiện có, từ đó sử dụng `transferFrom` để đánh cắp tài sản.

Mặc dù các sự kiện liên quan đến SwapNet và Aperture Finance ảnh hưởng đến các giao thức và blockchain khác nhau, nhưng vấn đề cốt lõi của cả hai không phức tạp: các lệnh gọi cấp thấp do người dùng kiểm soát và việc xác thực đầu vào không đầy đủ trong các hợp đồng nắm giữ sự ủy quyền token.