Une vulnérabilité liée aux appels arbitraires serait à l'origine des piratages de SwapNet et d'Aperture Finance, pour un montant de 17 millions de dollars

La société de sécurité blockchain BlockSec a publié une analyse technique des attaques qui ont touché deux protocoles de finance décentralisée, entraînant des pertes de plus de 17 millions de dollars.

SwapNet, un agrégateur DEX, a subi des pertes de plus de 13,4 millions de dollars sur Ethereum, Arbitrum, Base et Binance Smart Chain, tandis qu'Aperture Finance, qui gère des positions de liquidité concentrées, a perdu environ 3,67 millions de dollars dans undentsimultané mais sans lien avec le précédent.

« Les contrats de la victimetracune capacité d'appel arbitraire en raison d'une validation insuffisante des entrées, permettant aux attaquants d'abuser des approbations de jetons existantes et d'invoquer transferFrom pour drainer les actifs », BlockSec dans un résumé de son analyse sur X.

La société de sécurité a déclaré: « Ces incidentsdentrappellent que la flexibilité dans la conception des contratstracêtre soigneusement équilibrée par des contraintes d'appel strictes, en particulier dans les systèmes à code source fermé où l'examen externe est limité. »

Quelle était la cause de la vulnérabilité de SwapNet ?

Dans le cas de SwapNet, la vulnérabilité provenait de la fonction 0x87395540(), qui ne disposait pas d'une validation appropriée sur les entrées critiques. 

En remplaçant les adresses de routeur ou de pool attendues par des adresses de jetons telles que USDC, les attaquants ont trompé letracde la victime en lui faisant croire que les jetons étaient des cibles d'exécution valides. 

Cela a permis l'exécution d'appels de bas niveau avec des données d'appel contrôlées par l'attaquant, permettant autracde la victime d'effectuer des appels qui ont permis à l'attaquant de détourner tous les actifs approuvés.

Cette vulnérabilité a affecté les utilisateurs de Matcha Meta, un DeFi , qui avaient désactivé le paramètre « Approbation unique » de la plateforme et accordé une approbation illimitée directement aux contratstrac.

La perte la plus importante a été enregistrée chez un utilisateur ayant perdu environ 13,34 millions de dollars. Au total, 20 utilisateurs ont été touchés. L'attaque a débuté sur la blockchain Base au bloc 41289829, ce qui a incité SwapNet à suspendre lestracsur Base 45 minutes après la détection de l'exploitation initiale. Les contrats ont également été suspendustracd'autres chaînes peu après ; cependant, durant cette période, 13 utilisateurs supplémentaires ont été affectés sur trois chaînes.

Aperture Finance a subi une faiblesse similaire

Aperture Finance, qui gère les positions de liquidité Uniswap V3 pour le compte des utilisateurs, a été victime du même type de vulnérabilité dans sa fonction 0x67b34120(). 

Lorsque cette fonction était invoquée, une fonction interne 0x1d33() exécutait des appels de bas niveau en utilisant des données d'appel fournies par les utilisateurs sans imposer de contraintes strictes sur la cible d'appel ou le sélecteur de fonction.

Cela a permis aux attaquants de construire des données d'appel malveillantes qui ont détourné des jetons ERC-20 et ont également approuvé des NFT de position Uniswap V3.

Les utilisateurs ayant autorisé l'accès aux fonctionnalités de « gestion instantanée des liquidités » étaient les plus exposés à cette attaque.

Lors d'une attaque représentative sur Ethereum, l'attaquant a créé untracqui a invoqué la fonction vulnérable avec seulement 100 wei d'ETH. Après avoir encapsulé les jetons natifs dans du WETH, l'appel malveillant à WBTC.transferFrom() a été exécuté, permettant à l'attaquant de détourner des jetons approuvés tout en passant un contrôle de solde en spécifiant sa propre valeur de sortie d'échange.

Quels changements apportent les plateformes concernées ? 

Cesdentont incité les deux protocoles à réévaluer leur approche en matière de sécurité. Dans un premier temps, les deux protocoles ont demandé à leurs utilisateurs de révoquer les approbations à l'aide d'outils tels quecash. 

Matcha Meta a annoncé avoir désactivé l'option permettant aux utilisateurs de désactiver l'approbation unique. L'entreprise a également retiré SwapNet de sa plateforme jusqu'à nouvel ordre, tout en précisant : « Privilégier la personnalisation au détriment de la sécurité n'est pas une attitude que nous tolérerons à l'avenir. »

Aperture Finance a déclaré avoir désactivé toutes les fonctionnalités de son application web affectée. Concernant ses efforts de récupération, la société a indiqué : « Nous collaborons étroitement avec des entreprises de sécurité informatique de premier plan et nous coordonnons nos actions avec les forces de l'ordre afin de tracles fonds. » Elle a également précisé mettre en place des canaux de négociation pour obtenir le remboursement des fonds.