Компания BlockSec сообщила об уязвимостях в проектах SwapNet и Aperture Finance, которые привели к потере более $17 млн.
Специалисты по безопасности проанализировали ошибку в смарт-контрактах, доступных только для аудита. Причиной инцидента стала недостаточная проверка входных данных, что позволило злоумышленникам использовать функцию произвольного вызова для несанкционированного доступа.
Атака заключалась в эксплуатации ранее выданных разрешений на использование токенов (approve) через метод `transferFrom`, что привело к хищению средств.
Затронутые контракты были развернуты в сетях Ethereum, Arbitrum, Base и BSC. Основной проблемой названы недостаточные проверки входных параметров в контрактах, управляемых пользователями, и в механизмах авторизации токенов.