Công ty bảo mật blockchain BlockSec đã công bố bản phân tích kỹ thuật về các cuộc tấn công nhắm vào hai giao thức tài chính phi tập trung, gây thiệt hại hơn 17 triệu đô la.
SwapNet, một Dex Aggregator, đã chịu tổn thất hơn 13,4 triệu đô la trên các nền tảng Ethereum, Arbitrum, Base và Binance Smart Chuỗi, trong khi Aperture Finance, công ty quản lý các vị thế thanh khoản tập trung, đã mất khoảng 3,67 triệu đô la trong một sự cố đồng thời nhưng không liên quan.
“The victim contracts expose an arbitrary-call capability due to insufficient input validation, allowing attackers to abuse existing Token approvals and invoke transferFrom to drain assets,” BlockSec stated in a summary of its analysis on X.
Công ty an ninh cho biết : “Những sự cố này nhắc nhở chúng ta rằng tính linh hoạt trong thiết kế hợp đồng cần được cân bằng cẩn thận với các ràng buộc nghiêm ngặt về cuộc gọi, đặc biệt là trong các hệ thống mã nguồn đóng, nơi việc xem xét từ bên ngoài bị hạn chế.”
Nguyên nhân nào dẫn đến lỗ hổng bảo mật của SwapNet?
Trong trường hợp của SwapNet, lỗ hổng xuất phát từ hàm 0x87395540(), thiếu sự kiểm tra thích hợp đối với các đầu vào quan trọng.
Bằng cách thay thế các địa chỉ bộ định tuyến hoặc nhóm dự kiến bằng các địa chỉ Token như USDC, kẻ tấn công đã đánh lừa hợp đồng của nạn nhân coi các mã thông báo là mục tiêu thực thi hợp lệ.
Điều này dẫn đến việc các cuộc gọi cấp thấp được thực thi với dữ liệu cuộc gọi do kẻ tấn công kiểm soát, cho phép hợp đồng của nạn nhân thực hiện các cuộc gọi để kẻ tấn công có thể chiếm đoạt tất cả các tài sản đã được phê duyệt.
Lỗ hổng này ảnh hưởng đến người dùng của Matcha Meta, một sàn giao dịch DeFi tổng hợp, những người đã vô hiệu hóa cài đặt “Phê duyệt một lần” của nền tảng và cấp quyền phê duyệt không giới hạn trực tiếp cho các hợp đồng SwapNet.
Thiệt hại lớn nhất thuộc về một người dùng duy nhất, với khoảng 13,34 triệu đô la . Tổng cộng có 20 người dùng bị ảnh hưởng. Cuộc tấn công bắt đầu trên Base tại Block 41289829, khiến SwapNet phải tạm dừng các giao dịch trên Base 45 phút sau khi phát hiện ra lỗ hổng ban đầu. Hệ thống cũng tạm dừng các giao dịch trên các chuỗi khác ngay sau đó; tuy nhiên, trong khoảng thời gian đó, thêm 13 người dùng khác bị ảnh hưởng trên ba chuỗi.
Điểm yếu tương tự cũng ảnh hưởng đến Aperture Finance.
Aperture Finance, đơn vị quản lý các vị thế thanh khoản Uniswap V3 thay mặt người dùng, cũng trở thành nạn nhân của cùng loại lỗ hổng bảo mật trong hàm 0x67b34120().
Khi hàm này được gọi, một hàm nội bộ 0x1d33() thực thi các lệnh gọi cấp thấp sử dụng dữ liệu gọi do người dùng cung cấp mà không áp đặt các ràng buộc nghiêm ngặt đối với mục tiêu gọi hoặc bộ chọn hàm.
Điều này cho phép kẻ tấn công tạo ra dữ liệu cuộc gọi độc hại để đánh cắp token ERC-20 và cả các NFT vị thế Uniswap V3 đã được phê duyệt.
Những người dùng đã được cấp quyền phê duyệt cho các tính năng “Quản lý thanh khoản tức thời” là những người có nguy cơ bị tấn công.
Trong một cuộc tấn công điển hình vào Ethereum, kẻ tấn công đã tạo ra một hợp đồng gọi hàm dễ bị tổn thương chỉ với 100 wei ETH. Sau khi chuyển đổi các token gốc thành WETH, lệnh gọi độc hại đến WBTC.transferFrom() đã được thực thi, cho phép kẻ tấn công rút các token đã được phê duyệt trong khi vượt qua kiểm tra số dư bằng cách chỉ định giá trị đầu ra hoán đổi của riêng mình.
Các nền tảng bị ảnh hưởng đang thực hiện những thay đổi gì?
Các sự cố này đã khiến cả hai giao thức phải đánh giá lại cách tiếp cận bảo mật của mình. Đầu tiên, cả hai giao thức đều yêu cầu người dùng thu hồi các phê duyệt bằng các công cụ như Revoke.cash.
Matcha Meta cho biết họ đã vô hiệu hóa tùy chọn cho phép người dùng tắt tính năng phê duyệt một lần. Họ cũng đã gỡ bỏ SwapNet khỏi nền tảng của mình cho đến khi có thông báo mới, đồng thời khẳng định rằng “Việc ưu tiên tính tùy chỉnh hơn bảo mật không phải là điều chúng tôi sẽ tiếp tục chấp nhận trong tương lai”.
Aperture Finance stated that it has disabled all affected web application functionalities. On its recovery efforts, it stated, “We are working closely with top-tier forensic security firms and are coordinating with law enforcement to trace funds,” while adding that it is also establishing channels to negotiate the return of funds as well.
