BlockSec publica análise de vulnerabilidade grave em contrato fechado: SwapNet e Aperture Finance sofreram ataques devido à validação de entrada insuficiente, com perdas de 17 milhões de dólares

O Odaily Planet Daily News BlockSec divulgou uma análise de vulnerabilidade importante de contratos de código fechado, que detetou uma série de transações suspeitas contra contratos de vítimas implementadas pela SwapNet e Aperture Finance em Ethereum, Arbitrum, Base e BSC, com uma perda total superior a 17 milhões de dólares. Fundamentalmente, a causa raiz de ambos os incidentes é simples: o contrato da vítima tem uma vulnerabilidade arbitrária de chamadas devido à validação insuficiente da entrada, que pode ser explorada por um atacante para abusar da autorização existente do token para transferir a partir de ativos de roubo.

Embora os eventos SwapNet e Aperture Finance tenham afetado protocolos e blockchains diferentes, os problemas subjacentes de ambos não são complicados: chamadas subjacentes controladas pelo utilizador e validação de entrada insuficiente em contratos que detêm autorização de tokens.