tradingkey.logo
tradingkey.logo
Buscar

SwapNet pierde 13,4 millones de dólares tras una falla en la validación de entradas que permite la fuga de activos

Cryptopolitan28 de ene de 2026 15:54
facebooktwitterlinkedin
Ver todos los comentarios0

La empresa de seguridad blockchain BlockSec ha publicado un análisis técnico de los ataques que afectaron a dos protocolos de finanzas descentralizadas, resultando en pérdidas de más de 17 millones de dólares.

SwapNet, un agregador DEX, sufrió pérdidas de más de $13,4 millones en Ethereum, Arbitrum, Base y Binance Smart Chain, mientras que Aperture Finance, que administra posiciones de liquidez concentradas, perdió aproximadamente $3,67 millones en undentsimultáneo pero no relacionado.

trac de la víctima exponen una capacidad de llamada arbitraria debido a una validación de entrada insuficiente, lo que permite a los atacantes abusar de las aprobaciones de tokens existentes e invocar transferFrom para drenar los activos”, BlockSec en un resumen de su análisis sobre X.

La empresa de seguridad afirmó : “Estos dent sirven como recordatorio de que la flexibilidad en trac debe equilibrarse cuidadosamente con estrictas restricciones de llamadas, especialmente en sistemas de código cerrado donde la revisión externa es limitada”.

¿Qué había detrás de la vulnerabilidad de SwapNet?

En el caso de SwapNet, la vulnerabilidad provenía de la función 0x87395540(), que carecía de una validación adecuada en entradas críticas. 

Al reemplazar las direcciones de enrutador o grupo esperadas con direcciones de token como USDC, los atacantes engañaron altracde la víctima para que tratara los tokens como objetivos de ejecución válidos. 

Esto provocó que se ejecutaran llamadas de bajo nivel con datos de llamadas controlados por el atacante, lo que permitió que eltracde la víctima realizara llamadas que permitieron al atacante desviar todos los activos aprobados.

La vulnerabilidad afectó a los usuarios de Matcha Meta , un DeFi , que había desactivado la configuración de “Aprobación única” de la plataforma y había otorgado aprobación infinita directamente a los contratos de trac .

La mayor pérdida individual se produjo por un usuario que perdió alrededor de 13,34 millones de dólares . En total, 20 usuarios se vieron afectados. El ataque comenzó en Base, en el bloque 41289829, lo que provocó que SwapNet pausara los trac en Base 45 minutos después de detectarse el exploit inicial. También pausó los trac en otras cadenas poco después; sin embargo, durante ese periodo, otros 13 usuarios se vieron afectados en tres cadenas.

Una debilidad similar afectó a Aperture Finance

Aperture Finance, que gestiona las posiciones de liquidez de Uniswap V3 en nombre de los usuarios, fue víctima de la misma clase de vulnerabilidad en su función 0x67b34120(). 

Cuando se invocó esta función, una función interna 0x1d33() ejecutó llamadas de bajo nivel utilizando datos de llamada proporcionados por los usuarios sin aplicar restricciones estrictas en el objetivo de la llamada o el selector de función.

Esto permitió a los atacantes construir datos de llamadas maliciosos que extrajeron tokens ERC-20 y también aprobaron NFT de posición Uniswap V3.

Los que estaban en riesgo ante este ataque eran los usuarios que tenían aprobaciones autorizadas para las funciones de “Gestión instantánea de liquidez”.

En un ataque representativo a Ethereum, el atacante creó untracque invocaba la función vulnerable con tan solo 100 wei de ETH. Tras encapsular los tokens nativos en WETH, se ejecutó la llamada maliciosa a WBTC.transferFrom(), lo que permitió al atacante extraer los tokens aprobados mientras pasaba una verificación de saldo especificando su propio valor de salida de swap.

¿Qué cambios están realizando las plataformas afectadas? 

Losdenthan obligado a ambos protocolos a reevaluar su enfoque de seguridad. En primer lugar, ambos protocolos solicitaron a sus usuarios que revocaran las aprobaciones mediante herramientas comocash. 

Matcha Meta declaró que ha desactivado la opción que permite a los usuarios desactivar la Aprobación Única. También ha eliminado SwapNet de su plataforma hasta nuevo aviso, y afirmó que «no permitiremos que se priorice la personalización en lugar de la seguridad de ahora en adelante»

Aperture Finance declaró que ha desactivado todas las funcionalidades de la aplicación web afectada. Sobre sus esfuerzos de recuperación, declaró: «Estamos trabajando estrechamente con empresas de seguridad forense de primer nivel y coordinándonos con las fuerzas del orden para trac los fondos», y añadió que también está estableciendo canales para negociar la devolución de los fondos.

¿Quieres que tu proyecto esté presente en las mentes más brillantes del mundo de las criptomonedas? Preséntalo en nuestro próximo informe del sector, donde los datos se combinan con el impacto.

Descargo de responsabilidad: La información proporcionada en este sitio web es solo para fines educativos e informativos, y no debe considerarse como asesoramiento financiero o de inversión.

Comentarios (0)

Haga clic en el botón $, introduzca el símbolo y seleccione si desea vincular una acción, un ETF o otro valor.

0/500
Normas para comentar
Cargando...

Artículos Recomendados

Minutas del FOMC: La Fed pasa a una postura neutral de espera, algunos funcionarios ven la necesidad de subir las tasas, los riesgos al alza de la inflación se convierten en el conflicto central

La Reserva Federal publicó el 8 de julio las actas de su reunión de política monetaria del FOMC celebrada los días 16 y 17 de junio. El documento muestra que la política de la Fed ha cambiado por completo hacia una postura neutral de espera, en la que los riesgos al alza para la inflación se han convertido en la contradicción central. Esta reunión del FOMC envió una señal clara de que la Fed se ha alejado por completo de su sesgo anterior de recortes de tasas unilaterales para entrar en un período de observación de política flexible y bidireccional. Una persistencia de la inflación mayor de lo previsto y la ampliación de su alcance son las razones principales de este giro de política, mientras que la resiliencia del empleo y del crecimiento ofrece margen para realizar ajustes de política flexibles. Los funcionarios confirmaron un mayor aumento de la inflación y señalaron que las presiones ya no se limitan a factores exógenos como la energía y los aranceles. En su lugar, las subidas de precios se han extendido a una amplia gama de categorías, incluidos el transporte, las tarifas aéreas y el petróleo, mientras que la inflación de los servicios, excluida la vivienda, casi no muestra mejoras. A corto plazo, a medida que se recupere el transporte marítimo a través del estrecho de Ormuz y se desvanezcan los efectos marginales de los aranceles, se espera que la inflación disminuya gradualmente.
tradingkey.logo
* Las referencias, los análisis y las estrategias de trading son proporcionados por un proveedor externo, Trading Central, y el punto de vista se basa en la evaluación y el juicio independientes del analista, sin considerar los objetivos de inversión ni la situación financiera de los inversores.
Advertencia de Riesgo: Nuestro sitio web y aplicación móvil solo proporcionan información general sobre ciertos productos de inversión. Finsights no proporciona, y la provisión de dicha información no debe interpretarse como que Finsights proporciona, asesoramiento financiero o recomendación para cualquier producto de inversión.
Los productos de inversión están sujetos a riesgos de inversión significativos, incluida la posible pérdida del monto principal invertido y pueden no ser adecuados para todos. El rendimiento pasado de los productos de inversión no es indicativo de su rendimiento futuro.
Finsights puede permitir que anunciantes o afiliados de terceros coloquen o entreguen anuncios en nuestro sitio web o aplicación móvil o en cualquier parte de los mismos y puede ser compensado por ellos en función de su interacción con los anuncios.
© Derechos de autor: FINSIGHTS MEDIA PTE. LTD. Todos los derechos reservados.