Уязвимость, связанная с произвольными вызовами платежных систем, стала причиной взломов SwapNet и Aperture Finance на сумму 17 миллионов долларов

Компания BlockSec, специализирующаяся на безопасности блокчейна, опубликовала технический анализ атак, поразивших два протокола децентрализованных финансов и приведших к убыткам в размере более 17 миллионов долларов.

Агрегатор децентрализованных бирж SwapNet понес убытки в размере более 13,4 млн долларов США на платформах Ethereum, Arbitrum, Base и Binance Smart Chain, а компания Aperture Finance, управляющая концентрированными позициями ликвидности, потеряла около 3,67 млн ​​долларов США в результате параллельного, но не связанного с этимdent.

« , заключенные с жертвамиtrac, раскрывают возможность произвольных вызовов из-за недостаточной проверки входных данных, что позволяет злоумышленникам злоупотреблять существующими процедурами подтверждения токенов и вызывать transferFrom для вывода средств», — говорится в резюме анализа BlockSec по X

Компания, занимающаяся вопросами безопасности, заявила: «Этиdentслужат напоминанием о том, что гибкость в разработке контрактовtracтщательно балансироваться со строгими ограничениями на количество вызовов, особенно в системах с закрытым исходным кодом, где возможности внешнего контроля ограничены».

Что скрывалось за уязвимостью SwapNet?

В случае с SwapNet уязвимость возникла из-за функции 0x87395540(), которая не обеспечивала надлежащую проверку критически важных входных данных. 

Заменив ожидаемые адреса маршрутизаторов или пулов адресами токенов, такими как USDC, злоумышленники обманулиtracжертвы, заставив его рассматривать токены как действительные цели выполнения. 

Это привело к выполнению низкоуровневых вызовов с использованием контролируемых злоумышленником данных, что позволилоtrac-жертве совершать вызовы, дающие злоумышленнику возможность перехватить все разрешенные активы.

Уязвимость затронула пользователей Matcha Meta, DeFi бирж, которые отключили настройку «Одноразовое одобрение» на платформе и предоставили неограниченное одобрение непосредственно контрактамtrac.

Наибольшие единовременные потери понес один пользователь, потерявший около 13,34 миллиона долларов. В общей сложности пострадали 20 пользователей. Атака началась на Base с блока 41289829, что побудило SwapNet приостановить контрактыtracBase через 45 минут после обнаружения первоначальной уязвимости. Вскоре после этого были приостановлены контракты иtracдругих блокчейнах; однако за это время пострадали еще 13 пользователей на трех блокчейнах.

Аналогичные проблемы затронули и компанию Aperture Finance

Компания Aperture Finance, управляющая ликвидными позициями Uniswap V3 от имени пользователей, стала жертвой аналогичной уязвимости в своей функции 0x67b34120(). 

При вызове этой функции внутренняя функция 0x1d33() выполняла низкоуровневые вызовы, используя данные вызова, предоставленные пользователями, без применения строгих ограничений к целевому объекту вызова или селектору функции.

Это позволило злоумышленникам создавать вредоносные данные о звонках, которые похищали токены ERC-20, а также утверждали позиции NFT на Uniswap V3.

В зоне риска этой атаки оказались пользователи, имевшие авторизованные разрешения на использование функций «Мгновенного управления ликвидностью».

В одном из показательных примеров атаки на Ethereumзлоумышленник создалtrac, который вызывал уязвимую функцию всего за 100 wei ETH. После конвертации нативных токенов в WETH был выполнен вредоносный вызов функции WBTC.transferFrom(), что позволило злоумышленнику снять одобренные токены, пройдя проверку баланса, указав собственное значение выхода обмена.

Какие изменения вносят затронутые платформы? 

Этиdentпобудили оба протокола пересмотреть свой подход к безопасности. Во-первых, оба протокола предложили своим пользователям отзывать разрешения с помощью таких инструментов, какcash. 

Компания Matcha Meta заявила, что отключила переключатель, позволяющий пользователям отключать одноразовое подтверждение. Она также удалила SwapNet со своей платформы до дальнейшего уведомления, заявив при этом, что «предпочтение настраиваемости безопасности — это позиция, которую мы не допустим в будущем»

Компания Aperture Finance заявила , что отключила все затронутые функции веб-приложения. В отношении мер по восстановлению она отметила: «Мы тесно сотрудничаем с ведущими компаниями, специализирующимися на криминалистической экспертизе в сфере безопасности, и координируем свои действия с правоохранительными органами для tracсредств», добавив, что также создают каналы для переговоров о возврате средств.