DeFi 駭客警報：Aperture Finance 智能合約遭攻擊損失 367 萬美元

本文 DeFi 駭客警報：Aperture Finance 智能合約遭攻擊損失 367 萬美元 首次發表於 Coinpedia Fintech News

DeFi 平台 Aperture Finance 遭受重大安全漏洞攻擊，在智能合約攻擊中損失約 367 萬美元。區塊鏈安全公司 PeckShieldAlert 顯示，駭客正積極透過隱私混幣服務 Tornado Cash 轉移被盜資金。 

此活動引發了對資金回收以及實際駭客攻擊如何發生的新擔憂。

Aperture Finance 攻擊事件如何發生

根據 PeckShieldAlert，Aperture Finance 駭客攻擊發生在 2026 年 1 月 25 日，起因於其 V3 和 V4 智能合約的弱點，結合現有的使用者代幣授權。
在 DeFi 平台中，使用者通常會允許合約移動其 ERC-20 代幣或流動性部位 NFT，以便交易和策略能夠自動執行。但在這種情況下，攻擊者發現了合約處理這些權限和函數呼叫方式的漏洞。

攻擊者並未破解錢包或竊取私鑰，而是利用合約本身的邏輯來觸發未經授權的資產轉移。

由於許多使用者已經授予了授權，攻擊者無需新的簽名即可移動資金。這使他們能夠抽乾與已授權代幣和流動性部位相關的資產。

資金在駭客攻擊後轉移至 Tornado Cash

所有這些導致了價值 367 萬美元的資產被提取，攻擊者將大部分轉換為 ETH，並將約 1,242 ETH 發送到 Tornado Cash 以隱藏蹤跡。

攻擊者經常使用像 Tornado Cash 這樣的混幣服務來隱藏被盜加密貨幣的來源，使追蹤變得更加困難。資金透過多筆小額交易發送，包括 10 ETH 和 100 ETH 的批次，這是用來避免引起注意的常見方法。

要求使用者撤銷代幣和 NFT 授權

在攻擊事件發生後，Aperture Finance 團隊發布了緊急通知，並分享了受影響的合約地址清單。同時警告使用者緊急撤銷與風險地址相關的 ERC-20 代幣授權和 ERC-721 流動性部位授權。 

錢包授權允許智能合約移動使用者資金，如果保持啟用狀態，在合約遭到入侵後可能會被濫用。