Odaily Planet Daily News BlockSec a publié une analyse majeure des vulnérabilités des contrats à source fermée, qui a détecté une série de transactions suspectes contre des contrats victimes déployés par SwapNet et Aperture Finance sur Ethereum, Arbitrum, Base et BSC, avec une perte totale de plus de 17 millions de dollars. Fondamentalement, la cause profonde des deux incidents est simple : le contrat victime présente une vulnérabilité d’appel arbitraire due à une validation insuffisante des entrées, qui peut être exploitée par un attaquant pour abuser de l’autorisation existante du token afin de transférer depuis des actifs volés.
Bien que les événements SwapNet et Aperture Finance aient affecté différents protocoles et blockchains, les problèmes sous-jacents des deux ne sont pas compliqués : appels sous-jacents contrôlés par l’utilisateur, et validation insuffisante des entrées dans les contrats détenant une autorisation de jeton.