BlockSec раскрыла детали серьёзной уязвимости в смарт-контрактах закрытого кода, которая привела к масштабным финансовым потерям. Согласно анализу компании, протоколы SwapNet и Aperture Finance стали жертвами атаки из-за недостаточной проверки входных данных. Общий ущерб от инцидента превысил 17 миллионов долларов.

Злоумышленники воспользовались уязвимостью, позволявшей произвольные вызовы в скомпрометированных контрактах. Это позволило им злоупотребить ранее выданными разрешениями на использование токенов и вывести средства с помощью функции transferFrom.

Проблемные контракты были развёрнуты в нескольких крупных сетях, включая Ethereum, Arbitrum, Base и Binance Smart Chain. Эксперты BlockSec установили, что коренная причина уязвимости кроется в недостаточном контроле входных параметров для низкоуровневых вызовов, управляемых пользователем, а также в механизмах авторизации токенов.