【新手福利】欧易OKX盲盒大放送!下载即领,最高可得50 USDT!
2025-06-09
2026-02-06 0
DeFi平台Aperture Finance遭遇重大安全漏洞,因智能合约漏洞损失约367万美元。区块链安全公司PeckShieldAlert监测显示,攻击者正通过隐私混币服务Tornado Cash转移赃款。该事件引发了关于资金追回和实际攻击路径的新一轮担忧。
PeckShieldAlert分析指出,2026年1月25日发生的攻击事件源于V3/V4智能合约漏洞与既有用户代币授权相结合。在DeFi平台中,用户通常预先批准合约操作其ERC-20代币或流动性头寸NFT,以实现自动化交易策略。但本案中,攻击者利用合约处理权限与函数调用的逻辑缺陷,并未破解钱包或窃取私钥,而是通过合约自身逻辑触发未授权的资产转移。
由于多数用户已提前授予权限,攻击者无需新签名即可转移资金,最终清空了与授权代币及流动性头寸绑定的资产。
价值367万美元的资产被提取后,攻击者将大部分兑换为ETH,并向Tornado Cash转入约1,242枚ETH以隐匿踪迹。此类混币服务常被用于切断被盗加密资产溯源路径,本次资金通过多笔小额交易(含10 ETH和100 ETH批次)分流转移,这是规避监控的典型手法。
事件发生后,Aperture Finance团队发布紧急公告并公布受影响合约地址清单,强烈建议用户立即撤销与风险地址关联的ERC-20代币授权及ERC-721流动性头寸授权。钱包授权功能本意是允许智能合约操作用户资金,但若合约遭入侵后未及时撤销,这些权限可能被恶意滥用。
Copyright(C) 2020-2026 jiyx.com All Rights Reserved 联系方式:[email protected]