-
W wyniku exploita na Aperture Finance doszło do wycieku 3,67 mln USD po tym, jak atakujący wykorzystali podatne na atak smart kontrakty V3 i V4.
-
Portfele powiązane z atakiem przetransferowały później 1 242 ETH o wartości 2,4 mln USD do Tornado Cash w celu prania środków.
-
Zespoły ds. bezpieczeństwa zaapelowały do użytkowników o odwołanie zatwierdzeń ERC20 oraz pozycji płynności przypisanych do zagrożonych adresów kontraktów.
Platforma DeFi Aperture Finance padła ofiarą poważnego naruszenia bezpieczeństwa i utraciła około 3,67 mln USD w wyniku exploita smart kontraktu. Firma zajmująca się bezpieczeństwem blockchain, PeckShield, poinformowała, że haker aktywnie przesyła skradzione środki przez Tornado Cash, usługę mieszającą zapewniającą prywatność.
Aktywność ta wzbudziła nowe obawy dotyczące odzyskania środków oraz mechanizmu samego ataku.
Jak doszło do exploita na Aperture Finance
Zgodnie z informacjami PeckShield, atak na Aperture Finance miał miejsce 25 stycznia 2026 roku i wynikał z podatności w smart kontraktach V3 i V4, w połączeniu z istniejącymi zatwierdzeniami tokenów przez użytkowników.
Na platformach DeFi użytkownicy często zezwalają kontraktom na przesyłanie swoich tokenów ERC-20 lub NFT pozycji płynności, aby transakcje i strategie mogły być realizowane automatycznie. W tym przypadku atakujący znalazł lukę w sposobie obsługi tych uprawnień i wywołań funkcji przez kontrakt.
Zamiast łamać portfele lub kraść klucze prywatne, napastnik wykorzystał logikę samego kontraktu, aby wywołać nieautoryzowane transfery aktywów.
Ponieważ wielu użytkowników już wcześniej udzieliło zatwierdzeń, atakujący mógł przesuwać środki bez potrzeby uzyskiwania nowych podpisów. Umożliwiło mu to opróżnienie aktywów powiązanych z zatwierdzonymi tokenami i pozycjami płynności.
Środki przeniesione do Tornado Cash po ataku
W wyniku tych działań wyprowadzono wartość 3,67 mln USD; atakujący zamienił dużą część środków na ETH i przesłał około 1 242 ETH do Tornado Cash, by ukryć ślady.
Atakujący często korzystają z usług mieszalnic takich jak Tornado Cash, aby utrudnić śledzenie pochodzenia skradzionych kryptowalut oraz ich odzyskanie. Środki przesyłano w wielu małych transakcjach, w tym paczkach po 10 ETH i 100 ETH, co jest typową metodą unikania uwagi.
- Przeczytaj także:
- ,
Użytkownicy proszeni o odwołanie zatwierdzeń tokenów i NFT
Po exploicie zespół Aperture Finance opublikował pilne powiadomienie oraz udostępnił listę zagrożonych adresów kontraktów. Ostrzeżono również użytkowników, aby natychmiast odwołali wszystkie zatwierdzenia tokenów ERC-20 oraz zatwierdzenia pozycji płynności ERC-721 powiązane z ryzykownymi adresami.
Zatwierdzenia portfela pozwalają smart kontraktom na przesuwanie środków użytkownika, a jeśli pozostają aktywne, mogą zostać wykorzystane po złamaniu kontraktu.
Nie przegap żadnej informacji ze świata kryptowalut!
Bądź na bieżąco z najnowszymi wiadomościami, analizami ekspertów i aktualizacjami na żywo dotyczącymi trendów w Bitcoin, altcoinach, DeFi, NFT i innych.
FAQ
Hakerzy wykorzystali lukę w smart kontraktach platformy, używając już istniejących zatwierdzeń tokenów przez użytkowników do przesuwania aktywów bez kradzieży kluczy prywatnych.
Użytkownicy powinni natychmiast odwołać wszystkie zatwierdzenia tokenów oraz pozycji płynności powiązane z zagrożonymi adresami kontraktów, aby zapobiec dalszym stratom.
Usługi takie jak Tornado Cash zaciemniają ścieżki transakcji, co utrudnia śledzenie i odzyskanie skradzionych kryptowalut po ataku.
Nie. Exploit wykorzystał uprawnienia smart kontraktu; Twoje klucze prywatne pozostały bezpieczne, ale zagrożone były środki, do których udzieliłeś zatwierdzenia.
