Vulnerabilidade de chamada arbitrária é apontada como causa de ataques cibernéticos de US$ 17 milhões à SwapNet e à Aperture Finance

A empresa de segurança blockchain BlockSec divulgou uma análise técnica dos ataques que atingiram dois protocolos de finanças descentralizadas, resultando em perdas de mais de US$ 17 milhões.

A SwapNet, agregadora de DEX, sofreu perdas de mais de US$ 13,4 milhões em Ethereum, Arbitrum, Base e Binance Smart Chain, enquanto a Aperture Finance, que gerencia posições de liquidez concentradas, perdeu cerca de US$ 3,67 milhões em umdentsimultâneo, porém não relacionado.

“Ostracexpõem uma vulnerabilidade de chamadas arbitrárias devido à validação insuficiente de entradas, permitindo que os atacantes abusem das aprovações de tokens existentes e invoquem o método transferFrom para drenar ativos”, a BlockSec em um resumo de sua análise sobre o X.

A empresa de segurança declarou: "Esses incidentesdenttractractractractractractractracser cuidadosamente equilibrada com restrições rigorosas de chamadas, especialmente em sistemas de código fechado onde a revisão externa é limitada."

Qual era a causa da vulnerabilidade do SwapNet?

No caso do SwapNet, a vulnerabilidade surgiu da função 0x87395540(), que não possuía validação adequada em entradas críticas. 

Ao substituir os endereços esperados de roteadores ou pools por endereços de tokens, como USDC, os atacantes enganaram otracda vítima, fazendo-o tratar os tokens como alvos de execução válidos. 

Isso levou à execução de chamadas de baixo nível com dados de chamadas controlados pelo atacante, permitindo que otracda vítima realizasse chamadas que possibilitaram ao atacante desviar todos os ativos aprovados.

A vulnerabilidade afetou usuários do Matcha Meta, um DeFitractrac tractractractrac tractrac.

A maior perda individual foi de um usuário, que perdeu cerca de US$ 13,34 milhões. No total, 20 usuários foram afetados. O ataque começou na blockchain Base, no bloco 41289829, o que levou a SwapNet a pausar os contratostractractractractractractractractracem outras blockchains logo em seguida; no entanto, durante esse período, outros 13 usuários foram afetados em três blockchains diferentes.

Uma fraqueza semelhante atingiu a Aperture Finance

A Aperture Finance, que gerencia posições de liquidez do Uniswap V3 em nome dos usuários, foi vítima da mesma classe de vulnerabilidade em sua função 0x67b34120(). 

Quando essa função era invocada, uma função interna 0x1d33() executava chamadas de baixo nível usando dados de chamada fornecidos pelos usuários, sem impor restrições rígidas ao destino da chamada ou ao seletor de função.

Isso permitiu que os atacantes construíssem dados de chamadas maliciosos que desviavam tokens ERC-20 e também aprovavam NFTs de posição Uniswap V3.

Os usuários que haviam autorizado o uso dos recursos de "Gestão Instantânea de Liquidez" foram os que ficaram vulneráveis ​​a esse ataque.

Em um ataque representativo ao Ethereum, o atacante criou umtracque invocava a função vulnerável com apenas 100 wei de ETH. Após converter os tokens nativos em WETH, a chamada maliciosa para WBTC.transferFrom() foi executada, permitindo que o atacante drenasse os tokens aprovados, passando por uma verificação de saldo ao especificar seu próprio valor de saída de swap.

Que mudanças estão sendo implementadas nas plataformas afetadas? 

Osdentlevaram ambos os protocolos a reavaliarem sua abordagem de segurança. Primeiro, ambos os protocolos pediram aos seus usuários que revogassem as aprovações usando ferramentas comocash. 

A Matcha Meta anunciou que desativou a opção que permitia aos usuários desabilitar a Aprovação Única. A empresa também removeu o SwapNet de sua plataforma até novo aviso, declarando que "Priorizar a personalização em detrimento da segurança não é uma postura que permitiremos daqui para frente"

A Aperture Finance afirmou ter desativado todas as funcionalidades afetadas do aplicativo web. Sobre os esforços de recuperação, declarou: "Estamos trabalhando em estreita colaboração com empresas de segurança forense de ponta e coordenando com as autoridades policiais para tracos fundos", acrescentando ainda que está estabelecendo canais para negociar a devolução dos valores.