Odaily Planet Daily News BlockSec опубликовал крупный анализ уязвимостей закрытых контрактов, который выявил серию подозрительных транзакций против жертвенных контрактов, развернутых SwapNet и Aperture Finance на Ethereum, Arbitrum, Base и BSC, с общим убытком более 17 миллионов долларов. По сути, коренная причина обоих инцидентов проста: контракт жертвы имеет произвольную уязвимость вызова из-за недостаточной валидации ввода, что может быть использовано злоумышленником для злоупотребления существующей авторизацией токена с целью передачи из кража активов.
Хотя события SwapNet и Aperture Finance повлияли на разные протоколы и блокчейны, основные проблемы с обоими не сложны: пользовательские базовые вызовы и недостаточная проверка входных данных в контрактах с авторизацией токенов.