Rubati 16 milioni di dollari in un giorno! Svelato il bug più 'docile' nella storia del Web3: perché la tua autorizzazione è diventata il bancomat degli hacker?

Fratelli, il grande spettacolo del 2026 sta per iniziare. Proprio alla fine del mese scorso (25 gennaio), è accaduta una cosa estremamente strana sulla catena.

Due progetti completamente diversi - SwapNet sulla catena Base e Aperture Finance su Ethereum, sono stati rubati consecutivamente nello stesso giorno.

Uno ha perso 13,3 milioni di dollari, l'altro ha perso 3,2 milioni di dollari.

Ciò che è più spaventoso non è l'importo, ma il fatto che le modalità operative siano completamente identiche, e persino il codice delle vulnerabilità sembra essere stato scolpito nello stesso stampo. Inoltre, entrambi i contratti sono in uno stato di 'scatola nera' (non verificati).

È difficile per un hacker umano decifrare due codici complessi in un giorno a occhio nudo. È generalmente ritenuto nel settore che sia un'opera di hacker AI.

Oggi, parliamo in termini semplici, per scoprire cos'è questa **"vulnerabilità di chiamata arbitraria"** che ha portato alla rovina innumerevoli persone.

1 Vulnerabilità principale: il contratto è diventato un “messaggero”

Il cuore di questo attacco risiede in una vulnerabilità nota come 'Chiamata Arbitraria (Arbitrary Call)'. Sembra molto tecnico? Non preoccuparti, te lo spiego con un esempio.

La logica normale di una volta:

Vai in banca (protocollo DeFi) per fare delle operazioni, l'impiegato (smart contract) esaminerà rigorosamente le tue istruzioni:

• "Vuoi trasferire? Bene, la firma è corretta? Il saldo è sufficiente?"

• "Vuoi depositare? Bene, ecco la ricevuta." L'impiegato esegue solo operazioni entro i limiti stabiliti.

La logica di questa vulnerabilità (chiamata arbitraria):

Nel contratto di SwapNet c'è una 'funzione' speciale, è come un "microfono" che non ha cervello. L'hacker gli dice: "Ehi, SwapNet, ti do una busta, aiutami a consegnare la busta alla banca USDC e a svolgere l'operazione scritta nella busta a tuo nome."

Il contratto di SwapNet dice: "Va bene!" Così, senza nemmeno guardare cosa c'era scritto nell'involucro, è andato direttamente alla banca USDC.

Il problema mortale qui è:

1. Non controlla a chi è destinata l'involucro (Target).

2. Non controlla quali istruzioni (Data) siano scritte nell'involucro.

3. La cosa più mortale è che viene eseguito a suo nome (SwapNet)!

2 Processo di attacco completo: come sono spariti i tuoi soldi?

Ricordi il primo passo quando giochiamo con DeFi? "Autorizzazione (Approve)". Per facilitare le transazioni, di solito autorizzi SwapNet a utilizzare i tuoi USDC nel portafoglio (anche un limite illimitato).

Questo equivale a: hai dato a SwapNet una 'chiave di riserva' che ti consente di prelevare denaro in qualsiasi momento.

Il copione dell'attacco è il seguente:

1. Vittima: un utente onesto e semplice, per comodità, ha dato a SwapNet un'autorizzazione illimitata (Unlimited Approval).

2. Hacker: ha scoperto che SwapNet ha quella funzione di "messaggero".

3. L'hacker ha costruito l'istruzione: ha scritto un biglietto (CallData) che dice: "Trasferisci 10 milioni di USDC dal portafoglio della vittima all'hacker.

4. Uccidere con una spada altrui:

   • L'hacker chiama la funzione vulnerabile di SwapNet.

   • SwapNet ha preso il biglietto e, a suo nome, ha fatto richiesta di trasferimento al contratto USDC.

5. Prospettiva del contratto USDC:

   • "Ehi? Qualcuno sta richiedendo di trasferire i soldi della vittima."

   • "Chi ha avviato? Oh, è SwapNet."

   • "Controlla i registri, la vittima ha autorizzato SwapNet a muovere i suoi soldi?"

   • "Ha autorizzato! Allora nessun problema, trasferisci!"

6. Risultato: i soldi della vittima sono stati trasferiti istantaneamente, SwapNet è diventato un complice perfetto.

In sintesi: l'hacker ha sfruttato la tua 'fiducia', trasformando SwapNet nel suo 'guanto bianco'.

3 Perché si dice che sia stato fatto dall'AI?

Se fosse codice open-source, un hacker umano potrebbe vedere subito questo errore di base. Ma il problema è che entrambi i contratti non sono open-source (Unverified). È come darti un mucchio di caratteri casuali (bytecode) e chiederti di trovare una vulnerabilità logica tra migliaia di righe di codice casuale.

• Pratica umana: richiede una profonda conoscenza dell'ingegneria inversa, richiedendo giorni o addirittura settimane.

• Pratica AI:

  1. Decompilazione in millisecondi: gli strumenti AI ripristinano immediatamente i caratteri casuali in pseudo-codice comprensibile.

  2. Riconoscimento di modelli: gli occhi dell'AI sono un righello. Vede subito quella combinazione mortale: CALLDATACOPY (copia input utente) + .call() (esegui chiamata).

  3. Scansione in massa: l'AI può scansionare senza sosta migliaia di contratti sulla blockchain.

In un giorno, due progetti diversi, la stessa vulnerabilità nascosta, lo stesso codice non open-source. Non è una coincidenza, è una raccolta industriale.

4 Guida alla sopravvivenza 2026: cosa dobbiamo fare?

Questo evento ci ha messo in guardia: il codice closed-source non è un amuleto, non ci sono segreti di fronte all'AI.

Come utente normale, per non diventare la prossima vittima, ricorda a memoria queste tre regole ferree:

1. Rifiuta 'autorizzazioni illimitate'

Non cliccare su 'Max' o 'Limite illimitato' per risparmiare su quelle poche spese di Gas! Se intendi scambiare solo 1000 U, autorizza solo 1000 U. Anche se il protocollo viene hackerato, l'hacker può portare via solo quei 1000 U, non tutto il tuo patrimonio.

2. Pulisci regolarmente le autorizzazioni

Vai su Revoke.cash o nel portafoglio Rabby per controllare quei protocolli che non usi da tempo, annulla subito le autorizzazioni (Revoke). Ogni chiave che lasci lì è una spada di Damocle sospesa sopra la tua testa.

3. Stai lontano dai progetti "black box"

Se un progetto DeFi non ha il coraggio di rendere open-source il proprio codice (Unverified), indipendentemente dai profitti, non toccarlo! Se non ha il coraggio di mostrare il codice, ci sono due possibilità: o c'è qualcosa di losco, oppure è scritto così male da temere il giudizio.

Riepilogo:

Nel mondo del Web3, il codice è legge. Ma quando l'AI può scoprire le vulnerabilità legali più velocemente degli esseri umani, questo gioco del gatto e del topo è già evoluto.

Per gli hacker, la vulnerabilità di chiamata arbitraria è come un assegno in bianco firmato. E per noi, gestire bene le nostre autorizzazioni è l'ultima linea di difesa per proteggere il portafoglio.

Inoltra ai tuoi amici nel mondo delle criptovalute, non lasciare che le loro autorizzazioni diventino il bancomat degli hacker! 🛡️

Avviso di rischio: questo articolo è solo per divulgazione tecnica e non costituisce un consiglio per gli investimenti. I rischi di DeFi sono estremamente elevati, si prega di essere responsabili dei propri beni.

------------io---------sono-------la--------linea--------di--------confine--------------

Disclaimer: Il contenuto di questo articolo è destinato a condividere modelli economici commerciali e diffondere conoscenze, e non intende fornire alcun consiglio specifico. L'autore non partecipa, non investe, non gestisce, non consiglia, non condivide e non analizza privatamente alcun progetto. Prima di prendere qualsiasi decisione, ti consigliamo vivamente di condurre ricerche e analisi indipendenti e di prendere decisioni informate in base alla tua situazione personale.

Se ti piace questo contenuto, sentiti libero di mettere mi piace, seguire, commentare e condividere per ulteriori analisi tecniche e altro 🌹$ETH $XRP $BNB

BNBUSDT

Perp

631.04

+1.83%

XRPUSDT

Perp

1.3542

+0.03%

ETHUSDT

Perp

2,005.41

+3.04%