Furat într-o zi $1600 milioane! Descoperirea celei mai „ascultătoare” vulnerabilități din istoria Web3: De ce autorizația ta a devenit bancomatul hackerilor?

Frate, începe marea dramă din 2026. Chiar la sfârșitul lunii trecute (25 ianuarie), s-a întâmplat ceva extrem de ciudat pe blockchain.

Două proiecte complet diferite - SwapNet pe blockchain-ul Base și Aperture Finance pe Ethereum, au fost furate într-o singură zi.

Unul a pierdut 13,3 milioane de dolari, iar celălalt 3,2 milioane de dolari.

Ceea ce este cel mai înfricoșător nu este suma, ci faptul că metoda de operare este complet identică, ba chiar și codul vulnerabil pare să fi fost creat din același șablon. În plus, aceste două contracte sunt în stare de „cutie neagră” (neverificate) și nu sunt open-source.

Hackerii umani au dificultăți în a sparge vizual două coduri complexe de cutie neagră într-o zi. Este o opinie generală în domeniu că acesta este un produs al hackerilor AI.

Astăzi, vom folosi un limbaj simplu, pentru a dezvălui ce este această **„vulnerabilitate de apel arbitrar”** care a dus la falimentul a nenumărați oameni.

1. Vulnerabilitatea de bază: contractul a devenit un „mesager naiv”

Nucleul acestui atac constă într-o vulnerabilitate numită „apel arbitrar (Arbitrary Call)”. Sună complicat? Nu te panica, îți voi da un exemplu.

Logica normală de odinioară:

Te duci la bancă (protocol DeFi) pentru a efectua o tranzacție, casierul (contract inteligent) va verifica cu strictețe instrucțiunile tale:

• „Vrei să faci un transfer? Bine, semnătura e corectă? Soldul e suficient?”

• „Vrei să depui bani? Bine, îți dau chitanța.” Casierul face doar activități în limitele stabilite.

Logica erorii de această dată (apeluri arbitrare):

Contractul SwapNet are o „funcție” specială, care este ca un „mesager” complet fără creier. Hackerul îi spune: „Hei, SwapNet, îți dau un plic, te rog să duci plicul la banca USDC și să efectuezi în numele tău afacerea scrisă în plic.”

Contractul SwapNet spune: „Bine!” Astfel, fără să se uite la ce este scris în plic, a luat direct plicul și s-a dus la banca USDC.

Problema fatală aici este:

1. Nu verifică cui este destinat plicul (Target).

2. Nu verifică ce instrucțiuni sunt scrise în plic (Data).

3. Ceea ce este cel mai grav este că execută în numele său (SwapNet)!

2 Procesul atacului: cum ai pierdut banii?

Îți amintești primul pas pe care îl facem de obicei în DeFi? „Autorizare (Approve)”. Pentru a facilita tranzacțiile, de obicei autorizezi SwapNet să poată utiliza USDC-ul din portofelul tău (chiar și cu limită nelimitată).

Acest lucru este echivalent cu: ai dat lui SwapNet o „cheie de rezervă” cu care poți să îți retragi banii oricând.

Scenariul atacului este următorul:

1. Victima: utilizatorul onest, care, pentru a economisi timp, a oferit SwapNet contractului o autorizare nelimitată (Unlimited Approval).

2. Hacker: a descoperit că SwapNet are acea funcție de „mesager naiv”.

3. Hackerul construiește instrucțiunea: a scris o notă (CallData) cu conținutul: „Transferă 10 milioane USDC din portofelul victimei către hacker.”

4. Folosește arma altora:

   • Hackerul a apelat la funcția de vulnerabilitate a SwapNet.

   • SwapNet a primit nota și, în numele său, a inițiat această cerere de transfer către contractul USDC.

5. Perspectiva contractului USDC:

   • „Hmm? Cineva cere să transfere banii victimei.”

   • „Cine a inițiat? Oh, este SwapNet.”

   • „Verifică înregistrările, a autorizat victima SwapNet să poată accesa banii săi?”

   • „A autorizat! Atunci nu e problemă, transferă!

6. Rezultatul: banii victimei au fost transferați instantaneu, iar SwapNet a devenit complice perfect.

Rezumat într-o singură frază: hackerul a profitat de „încrederea” ta, transformând SwapNet în „mânuța lui albă”.

3 De ce se spune că a fost AI?

Dacă ar fi fost cod sursă deschis, hackerii umani ar fi putut identifica imediat această eroare de bază. Problema este că aceste două contracte sunt ambele închise (Unverified). Este ca și cum ți-ar oferi o grămadă de caractere fără sens (bytecode) și ar trebui să găsești un defect logic printre zeci de mii de linii de mormane de caractere.

• Metoda umană: necesită cunoștințe extrem de profunde în inginerie inversă, poate dura câteva zile sau chiar săptămâni.

• Metoda AI:

  1. Decompilare în secunde: un instrument AI reîntoarce instantaneu mormanele de caractere într-un cod sursă care poate fi înțeles.

  2. Recunoașterea modelului: ochii AI sunt o riglă. El vede imediat combinația fatală: CALLDATACOPY (copierea intrării utilizatorului) + .call() (executarea apelului).

  3. Scanare în masă: AI poate scana fără odihnă mii de contracte pe lanț.

Într-o singură zi, două proiecte diferite, aceeași vulnerabilitate ascunsă, același cod sursă închis. Nu este o coincidență, este o recoltare industrializată.

4 Ghid de supraviețuire 2026: Ce ar trebui să facem?

Acest eveniment ne-a tras un semnal de alarmă: codul închis nu este un talisman, nu există secrete în fața AI.

Ca utilizator obișnuit, fără dorința de a deveni următoarea victimă, reține cu strictețe aceste trei reguli de fier:

1. Refuză „autorizarea nelimitată”

Nu da click pe „Max” sau „Limită nelimitată” doar pentru a economisi câțiva bani pe Gas! Dacă intenționezi să schimbi doar 1000 U, autorizează doar 1000 U. Chiar dacă protocolul este spart, hackerul poate lua doar acești 1000 U, nu toată averea ta.

2. Curățare periodică a autorizărilor

Du-te pe Revoke.cash sau în portofelul Rabby pentru a verifica acele protocoale pe care nu le-ai folosit de mult și anulează rapid autorizațiile (Revoke). Fiecare cheie pe care o lași acolo este o sabie a lui Damocles suspendată deasupra capului tău.

3. Ferește-te de proiectele „cutie neagră”

Dacă un proiect DeFi nu îndrăznește să-și deschidă codul pentru verificare (Unverified), indiferent cât de mari sunt câștigurile, nu-l atinge! Dacă nu îndrăznește să arate codul, fie este ceva suspect, fie este prost scris și se teme de critici.

Rezumat:

În lumea Web3, codul este lege. Dar când AI poate descoperi erori legale mai repede decât oamenii, acest joc de șoareci și pisici a fost deja actualizat.

Pentru hacker, vulnerabilitatea apelului arbitrar este ca un cec în alb semnat. Iar pentru noi, gestionarea corectă a autorizărilor este ultima linie de apărare pentru portofel.

Trimite mai departe prietenilor tăi din lumea criptomonedelor, nu lăsa ca autorizațiile lor să devină bancomatul hackerilor! 🛡️

Avertizare de risc: acest articol este destinat exclusiv pentru educație tehnică și nu constituie sfaturi de investiții. Riscurile în DeFi sunt extrem de mari, te rugăm să ai grijă de bunurile tale.👇

------------eu---------sunt-------linia--------de--------demarcație--------------

Declinare de responsabilitate: Conținutul acestui articol este destinat să împărtășească modele economice de afaceri și cunoștințe, nu este destinat să ofere sfaturi specifice. Autorul nu este implicat, nu investește, nu operează, nu recomandă, nu împărtășește și nu analizează pe ascuns niciun proiect; înainte de a lua orice decizie, recomandăm cu tărie să efectuezi cercetări și analize independente și să iei decizii înțelepte în funcție de situația ta personală.

Dacă îți place acest conținut, te rugăm să dai like, să te abonezi, să lași un comentariu și să împărtășești, mai multe analize tehnice etc.🌹$ETH $XRP $BNB

BNBUSDT

Perpetuu

627.17

+1.20%

XRPUSDT

Perpetuu

1.4399

+1.54%

ETHUSDT

Perpetuu

1,989.87

+1.74%