Aperture Finance 已确认发生重大安全漏洞。该漏洞影响其 V3 和 V4 智能合约。团队表示,攻击者利用合约缺陷窃取了用户资金。此次攻击发生在多个区块链上,包括以太坊、BNB 链、Arbitrum 和 Base。
安全追踪机构估算总损失约为1700万美元。此次攻击并未依赖闪电贷,而是滥用现有的钱包授权。这意味着即使用户当时未主动交易,之前已授权合约的用户也面临风险。在检测到问题后,Aperture Finance 关闭了其前端应用的关键功能,旨在阻止新的授权并防止进一步损失。
初步分析显示,受影响合约存在输入验证问题。该缺陷允许攻击者触发任意外部调用,导致合约在未经过适当检查的情况下移动已授权的用户资金。这类攻击关注权限而非流动性池。一旦钱包授权,合约就可以代表其行动。如果合约变得不安全,用户资金就会暴露。
安全公司在漏洞发生后不久便标记了攻击者钱包。链上数据显示,资金从用户钱包转移到已知攻击者地址。一些用户在管理资金池时签署了看似常规的交易后,报告了资金损失。这一模式类似于近期出现的其他授权抽取攻击,显示即使是非托管工具,在合约逻辑失效时也可能变得危险。
Aperture Finance 在 X 上发布了紧急警报。团队表示已停止核心前端功能,以阻止新的授权,并确认正在与外部安全合作伙伴合作调查根本原因。项目承诺在核实事实后发布完整的事后报告,并将在调查持续期间分享更多更新。
社区成员迅速反应。一些人要求赔偿和恢复方案,另一些则请求更快披露技术细节。目前,团队主要专注于控制事态扩散和保护用户。安全公司如 Blockaid 和 TenArmor 也发出警告,认为此次事件是由授权基础的抽取攻击,关联到任意调用漏洞。
Aperture Finance 呼吁所有用户立即撤销对以太坊主网中易受攻击合约的授权:0xD83d960deBEC397fB149b51F8F37DD3B5CFA8913
用户可以通过 Etherscan 的授权检查工具或 Revoke.cash 撤销权限。过去与 Aperture V3 或 V4 交互的用户,无论是否仍活跃,都应采取此步骤。在团队确认修复之前,用户应避免与 Aperture Finance 合约进行任何新交互。新的授权可能会使钱包面临进一步风险。
此次事件凸显了 DeFi 领域日益严重的问题。许多攻击现在针对权限逻辑,而非池子余额。因此,授权管理变得与选择安全协议一样重要。目前的建议是:撤销权限,不要交互,等待团队的官方更新。
