Aperture Finance 已確認遭遇重大安全漏洞,影響其 V3 和 V4 智能合約。團隊表示攻擊者利用合約缺陷竊取用戶資金。此次漏洞事件波及多條區塊鏈,包括以太坊、BNB Chain、Arbitrum 和 Base。
安全追蹤器估計總損失約為 1700 萬美元。此次攻擊並未依賴閃電貸,而是濫用現有錢包授權。這意味著曾經授權合約的用戶即使在當時未積極交易,也可能受到影響。在發現問題後,Aperture Finance 關閉了前端應用的關鍵功能,旨在阻止新的授權並防止進一步損失。
初步分析顯示,受影響合約的輸入驗證存在問題。該缺陷允許攻擊者觸發任意外部調用,導致合約在未經適當檢查的情況下移動已授權的用戶資金。這種類型的攻擊重點在於權限控制,而非流動性池。一旦錢包授權,合約就可以代表用戶行事;如果合約變得不安全,用戶資金就會暴露。
安全公司在漏洞曝光後不久便標記了攻擊者的錢包地址。鏈上數據顯示資金從用戶錢包轉移到已知攻擊者地址。一些用戶在管理資金池時簽署了看似例行的交易後,報告遭受損失。這種模式與近期出現的其他授權抽取攻擊類似,顯示即使是非托管工具,在合約邏輯失效時也可能變得危險。
Aperture Finance 在 X 平台發布緊急警示。團隊表示已停止核心前端功能,以阻止新的授權行為,並確認正與外部安全合作夥伴合作調查根本原因。該項目承諾在事實確認後發布完整的事後分析報告,並會在調查進展中分享更多資訊。
社群成員迅速反應,有人要求賠償和恢復方案,也有人呼籲更快公開技術細節。目前,團隊主要專注於控制事態擴散和用戶保護。安全公司如 Blockaid 和 TenArmor 也發出警告,將此事件歸類為基於授權的抽取攻擊,與任意調用漏洞相關。
Aperture Finance 呼籲所有用戶立即撤銷對以太坊主網上受影響合約的授權:0xD83d960deBEC397fB149b51F8F37DD3B5CFA8913
用戶可以透過 Etherscan 的授權檢查工具或 Revoke.cash 來撤銷權限。過去與 Aperture V3 或 V4 互動的用戶都應該採取此步驟,即使他們已不再活躍。在團隊確認修復方案之前,建議用戶避免與 Aperture Finance 合約進行任何新交互,因為新的授權可能會使錢包面臨進一步風險。
此事件凸顯了 DeFi 領域日益嚴重的問題。許多攻擊現在針對權限邏輯,而非池子餘額。因此,授權管理的良好習慣正變得與選擇安全協議一樣重要。目前的訊息很明確:撤銷授權、避免交互,並等待團隊的官方更新。
