DeFi 黑客警报：Aperture Finance 智能合约遭攻击损失 367 万美元

帖文 DeFi 黑客警报：Aperture Finance 智能合约漏洞遭受 367 万美元损失 首次出现在 Coinpedia Fintech News

DeFi 平台 Aperture Finance 遭受重大安全漏洞，在智能合约攻击中损失约 367 万美元。区块链安全公司 PeckShieldAlert 显示，黑客正在积极通过 Tornado Cash（一项隐私混合服务）转移被盗资金。 

这一活动引发了关于资金追回和实际黑客攻击如何发生的新担忧。

Aperture Finance 漏洞如何发生

根据 PeckShieldAlert 的说法，Aperture Finance 黑客攻击发生在 2026 年 1 月 25 日，原因是其 V3 和 V4 智能合约存在弱点，加上现有的用户代币授权。
在 DeFi 平台中，用户通常允许合约转移他们的 ERC-20 代币或流动性头寸 NFT，以便交易和策略可以自动运行。但在这种情况下，攻击者发现了合约在处理这些权限和函数调用时的漏洞。

攻击者没有破解钱包或窃取私钥，而是利用合约本身的逻辑触发未经授权的资产转移。

由于许多用户已经授予批准，攻击者无需新签名即可转移资金。这使他们能够抽干与已批准代币和流动性头寸相关的资产。

黑客攻击后资金转移至 Tornado Cash

这一切导致提取了价值 367 万美元的资产，攻击者将大部分转换为 ETH，并向 Tornado Cash 发送了约 1,242 ETH 以隐藏踪迹。

攻击者经常使用像 Tornado Cash 这样的混合服务来隐藏被盗加密货币的来源，并使追踪变得更加困难。资金通过多次小额交易发送，包括 10 ETH 和 100 ETH 的批次，这是用于避免引起注意的常用方法。

要求用户撤销代币和 NFT 授权

在遭受攻击后，Aperture Finance 团队发布了紧急通知，并分享了受影响合约地址列表。还警告用户紧急撤销与高风险地址相关的 ERC-20 代币授权和 ERC-721 流动性头寸授权。 

钱包授权允许智能合约转移用户资金，如果保持活跃状态，在合约被攻破后可能会被滥用。