BlockSec发布闭源合约重大漏洞分析：SwapNet与Aperture Finance因输入验证不足遭攻击损失1700万美元

أصدرت Odaily Planet Daily News BlockSec تحليلا رئيسيا للثغرات في العقود مغلقة المصدر، والذي كشف عن سلسلة من المعاملات المشبوهة ضد عقود الضحايا التي نشرتها SwapNet وAperture Finance على إيثيريوم وأربيتروم وبيس وBSC، مع خسارة إجمالية تزيد عن 17 مليون دولار. في الأساس، السبب الجذري لكلتا الحادثتين بسيط: عقد الضحية لديه ثغرة استدعاء تعسفية بسبب عدم كفاية التحقق من صحة المدخلات، والتي يمكن للمهاجم استغلالها لإساءة استخدام تفويض الرموز الحالية للنقل من الأصول المسروقة.

على الرغم من أن أحداث SwapNet وAperture Finance أثرت على بروتوكولات وسلاسل بلوك تشين مختلفة، إلا أن المشاكل الأساسية في كليهما ليست معقدة: مكالمات تتحكم بها المستخدم، وعدم كفاية التحقق من المدخلات في العقود التي تحمل تفويض التوكن.