资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
此次攻击利用了未经检查的外部调用和宽泛的代币授权,这是自早期基于路由器的漏洞以来反复出现的DeFi安全隐患。多链部署扩大了损失规模,表明当核心合约的假设失效时,可组合性会如何放大风险。除了技术修复,该事件凸显了DeFi领域更深层的信任挑战,其可持续增长依赖于风险文化的转变,而不仅仅是修补代码。
发生了什么
在近期Aperture Finance遭受的多链漏洞攻击中,攻击者滥用了其路由基础设施中未经审计、非开源合约内嵌的任意外部调用漏洞,导致损失超过1740万美元。这再次提醒,智能合约风险仍是去中心化金融的致命弱点。该漏洞使得恶意调用能够从已向协议路由器授予代币批准的用户钱包中抽走资金。
根据GoPlus Security和HashDit等安全公司的链上警报和事后披露,此次攻击影响了以太坊、BNB Chain、Arbitrum和Base上的资产,突显出共享合约逻辑和跨链部署一旦单点执行路径被攻破,即便漏洞本身在概念上简单而非技术奇异,也可能放大损失。
反复出现的“路由器风险”问题
虽然损失的规模引起了关注,但攻击机制使其完全属于一类长期存在的DeFi漏洞,核心是未经检查的外部调用和过度宽松的代币授权。这种模式自2021年BadgerDAO前端失陷等早期事件,以及2022-2023年DeFi低迷期的授权抽走攻击以来,已反复出现。
在此案例中,受影响的合约允许未经验证的任意调用。这意味着一旦用户批准路由器消费代币,攻击者就能有效劫持这种信任关系,将便捷功能转变为责任。尽管行业多年来不断警告和事后复盘,这种结构性弱点依然持续存在。
为何此类事件仍在发生
Aperture Finance事件暴露了一个令人不安的现实:行业的安全失败很少源于未知漏洞,而是在竞争压力下,为快速在多链上推出产品而重复部署已知风险模式。
安全研究人员早已指出,未经审计或部分审计的路由合约,特别是那些处理委托授权的合约,代表着不对称的风险面:它们集中价值、与众多外部协议交互,并依赖于用户维持宽泛、长期的权限。一旦错过单个验证检查,就为攻击者创造了理想条件。
此次漏洞同时在几个主要网络上发生,突显出常被赞誉为DeFi最大优势的可组合性,在防御假设失效时,也成为损失的“力量倍增器”。
市场反应与信任动态
即时的市场反应反映了更深层的信任冲击,而非简单的损失核算。随着GoPlus Security和HashDit的警报在社交平台迅速传播,引发了用户间的明显恐慌,并引发了大量讨论,不仅质疑Aperture Finance的代码质量,更质疑基于路由器的抽象机制的广泛安全性。
尽管据报道受影响合约已修补,且Aperture Finance已尝试与攻击者进行链上沟通以协商潜在资金恢复,但其声誉影响可能会持续超过技术修复。因为在DeFi领域,信心无法仅通过补救措施恢复,更需要人们感知到风险文化本身已经改变。
一段DeFi仍未吸取的历史教训
从历史背景看,Aperture Finance的漏洞事件符合一个重复的循环,这个循环定义了DeFi的每一个扩张阶段:快速创新、资本流入、旨在简化用户体验的抽象层,随后便是暴露了缺乏相应安全审查的复杂性如何将风险转移给终端用户的漏洞攻击。
尽管自2020年以来各协议已损失数十亿美元,但许多项目仍继续依赖隐性的用户信任,而非围绕权限范围、合约不可变性和审计覆盖的明确、可验证的保证。随着DeFi寻求获得机构相关性,这种差距正变得日益难以为继。
如果DeFi要从一个高速实验场演变为持久的金融基础设施,此类事件需要成为例外,而非反复出现的里程碑。实现这一点不能仅靠被动修补,而需协议在处理用户授权、外部调用以及速度与安全之间权衡的方式上,进行根本性的转变。
