-
Nawalan ang Aperture Finance ng $3.67M matapos targetin ng mga umaatake ang mga mahihinang V3 at V4 smart contracts.
-
Ang mga wallet na konektado sa hack ay naglipat ng 1,242 ETH na nagkakahalaga ng $2.4M sa Tornado Cash para sa money laundering.
-
Hinimok ng mga security team ang mga user na i-revoke ang ERC20 at liquidity position approvals na konektado sa mga compromised na address ng kontrata.
Naranasan ng DeFi platform na Aperture Finance ang isang malaking pag-atake sa seguridad, na nagresulta sa pagkawala ng humigit-kumulang $3.67 milyon dahil sa isang smart contract exploit. Ayon sa blockchain security firm na PeckShield, aktibong inililipat ng hacker ang nakaw na pondo sa pamamagitan ng Tornado Cash, isang privacy-mixing service.
Nagdulot ito ng panibagong pag-aalala tungkol sa posibilidad ng pagbawi ng pondo at kung paano talaga nangyari ang pag-atake.
Paano Nangyari ang Aperture Finance Exploit
Ayon sa PeckShield, naganap ang Aperture Finance hack noong Enero 25, 2026 dahil sa kahinaan sa V3 at V4 smart contracts nito, kasabay ng mga umiiral nang user token approvals.
Sa mga DeFi platform, karaniwan nang binibigyan ng mga user ng pahintulot ang mga kontrata upang mailipat ang kanilang mga ERC-20 token o liquidity position NFT para awtomatikong magpatakbo ng mga trade at estratehiya. Ngunit sa kasong ito, natuklasan ng attacker ang isang depekto sa paraan ng paghawak ng kontrata sa mga pahintulot at function calls na ito.
Sa halip na basagin ang mga wallet o nakawin ang mga private key, ginamit ng attacker ang mismong lohika ng kontrata upang magsagawa ng hindi awtorisadong paglilipat ng mga asset.
Dahil marami nang user ang nagbigay ng approvals, nagawa ng attacker na ilipat ang mga pondo nang hindi kailangan ng bagong pirma. Dahil dito, na-drain nila ang mga asset na konektado sa inaprubahang mga token at liquidity positions.
Paglipat ng Pondo sa Tornado Cash Matapos ang Hack
Dahil dito, nakuha ng attacker ang kabuuang $3.67 milyon, na-convert ang malaking bahagi nito sa ETH, at ipinadala ang humigit-kumulang 1,242 ETH sa Tornado Cash upang itago ang bakas ng transaksyon.
Karaniwang ginagamit ng mga umaatake ang mga mixing service gaya ng Tornado Cash upang itago ang pinagmulan ng nakaw na crypto at gawing mas mahirap ang pagsubaybay. Ang mga pondo ay ipinadala sa maramihang maliliit na transaksyon, kabilang ang mga batch ng 10 ETH at 100 ETH, isang karaniwang paraan upang makaiwas sa pansin.
- Basahin din :
- ,
Hiniling sa Mga User na I-revoke ang Token at NFT Approvals
Matapos ang exploit, naglabas ang team ng Aperture Finance ng emergency notice at nagbahagi ng listahan ng mga apektadong address ng kontrata. Nagbabala rin sila sa mga user na agad i-revoke ang parehong ERC-20 token approvals at ERC-721 liquidity position approvals na konektado sa mga mapanganib na address.
Ang wallet approvals ay nagbibigay pahintulot sa smart contracts na ilipat ang pondo ng user, at kung ito ay nananatiling aktibo, maaaring abusuhin ito pagkatapos ma-kompromiso ang kontrata.
Huwag Palampasin ang mga Balita sa Mundo ng Crypto!
Manatiling nangunguna sa pamamagitan ng mga breaking news, ekspertong pagsusuri, at real-time na updates sa pinakabagong mga trend sa Bitcoin, altcoins, DeFi, NFTs, at iba pa.
FAQs
Sinamantala ng mga hacker ang kahinaan sa smart contracts ng platform, gamit ang mga umiiral na user token approvals upang mailipat ang mga asset nang hindi ninanakaw ang mga private key.
Dapat agad i-revoke ng mga user ang lahat ng token at liquidity position approvals na konektado sa mga apektadong address ng kontrata upang maiwasan ang karagdagang pagkalugi.
Ang mga serbisyo gaya ng Tornado Cash ay nagtatago ng mga bakas ng transaksyon, kaya mahirap subaybayan at mabawi ang nakaw na cryptocurrency matapos ang isang hack.
Hindi. Ang exploit ay nang-abuso sa smart contract permissions; nanatiling ligtas ang iyong private keys, ngunit nalagay sa panganib ang iyong mga inaprubahang pondo.
