An einem Tag wurden 16 Millionen Dollar gestohlen! Enthüllung der bisher 'gehorsamsten' Schwachstelle der Web3-Geschichte: Warum deine Autorisierung zur Geldmaschine der Hacker wurde?

Brüder, das große Schauspiel des Jahres 2026 kommt. Ende letzten Monats (25. Januar) geschah etwas äußerst Seltsames auf der Blockchain.

Zwei völlig verschiedene Projekte - SwapNet auf der Base-Chain und Aperture Finance auf Ethereum - wurden am selben Tag hintereinander gehackt.

Eines verlor 13,3 Millionen Dollar, das andere 3,2 Millionen Dollar.

Das Schrecklichste ist nicht der Betrag, sondern die Tatsache, dass die Vorgehensweisen völlig identisch waren, selbst der Code der Schwachstellen scheint aus demselben Guss zu sein. Außerdem sind beide Verträge im unbestätigten (Unverified) 'Black-Box'-Zustand.

Es ist für menschliche Hacker schwierig, innerhalb eines Tages zwei komplexe Black-Box-Codes mit bloßem Auge zu knacken. Innerhalb der Branche wird allgemein angenommen, dass dies ein Meisterwerk von KI-Hackern ist.

Heute werden wir in einfachen Worten herausfinden, was dieser **„beliebige Aufruf-Fehler“** ist, der unzählige Menschen in den Ruin getrieben hat.

1 Kernfehler: Der Vertrag wurde zu einem „naiven“

Der Kern dieses Angriffs liegt in einem Fehler, der als „beliebiger Aufruf (Arbitrary Call)“ bekannt ist. Klingt professionell? Keine Sorge, ich gebe dir ein Beispiel.

Früher war die Logik normal:

Du gehst zur Bank (DeFi-Protokoll), der Bankangestellte (Smart Contract) überprüft deine Anweisungen sorgfältig:

• „Willst du eine Überweisung machen? Gut, ist die Unterschrift korrekt? Ist das Guthaben ausreichend?“

• „Willst du Geld einzahlen? Gut, hier ist dein Beleg.“ Der Bankangestellte führt nur Geschäfte im festgelegten Rahmen durch.

Die Logik des aktuellen Fehlers (beliebige Aufrufe):

Im Vertrag von SwapNet gibt es eine spezielle „Funktion“, die wie ein völliger, gedankenloser „Mikrofon“ ist. Der Hacker sagt zu ihm: „Hey, SwapNet, ich gebe dir einen Umschlag, du hilfst mir, diesen Umschlag an die USDC-Bank zu übergeben und die darin stehenden Geschäfte in deinem Namen zu erledigen.“

Der SwapNet-Vertrag sagt: „Okay!“ Also schaut es sich nicht an, was im Umschlag steht, und geht direkt mit dem Umschlag zur USDC-Bank.

Das fatale Problem hier ist:

1. Es überprüft nicht, an wen der Umschlag gerichtet ist (Target).

2. Es überprüft nicht, was für Anweisungen im Umschlag geschrieben sind (Data).

3. Am schlimmsten ist, dass es in seiner eigenen Identität (SwapNet) ausgeführt wird!

2 Der gesamte Angriff: Wie ist dein Geld verschwunden?

Erinnerst du dich an den ersten Schritt, den wir normalerweise bei DeFi machen? „Genehmigen (Approve)“. Um Transaktionen zu erleichtern, genehmigst du normalerweise, dass SwapNet auf dein USDC in deiner Brieftasche zugreifen kann (sogar unbegrenzt).

Das ist gleichbedeutend mit: Du hast SwapNet einen „Ersatzschlüssel“ gegeben, mit dem du jederzeit Geld abheben kannst.

Das Angriffsskript lautet wie folgt:

1. Opfer: Naiver Benutzer, der aus Bequemlichkeit SwapNet unbegrenzte Genehmigungen (Unlimited Approval) gegeben hat.

2. Hacker: Entdeckte, dass SwapNet diese „naive“ Kommunikationsfunktion hat.

3. Der Hacker konstruiert die Anweisung: Er hat einen Zettel geschrieben (CallData), auf dem steht: „Überweise 10 Millionen USDC aus der Brieftasche des Opfers an den Hacker.

4. Mit fremden Mitteln töten:

   • Der Hacker nutzt die Schwachstelle der SwapNet-Funktion.

   • SwapNet hat den Zettel übernommen und in seinem eigenen Namen einen Überweisungsantrag an den USDC-Vertrag gestellt.

5. Aus der Sicht des USDC-Vertrags:

   • „Hmm? Jemand verlangt, das Geld des Opfers zu überweisen.“

   • „Wer hat das initiiert? Oh, es ist SwapNet.“

   • „Überprüfe die Aufzeichnungen, hat das Opfer SwapNet erlaubt, sein Geld zu benutzen?“

   • „Erlaubt! Das ist kein Problem, überweise!

6. Ergebnis: Das Geld des Opfers wurde sofort überwiesen, SwapNet wurde zum perfekten Komplizen.

Zusammenfassung in einem Satz: Der Hacker hat dein „Vertrauen“ ausgenutzt und SwapNet zu seinem „Handschuh“ gemacht.

3 Warum sagen wir, dass es die KI war?

Wenn es sich um Quellcode handelt, kann ein menschlicher Hacker solche groben Fehler sofort erkennen. Das Problem ist, dass diese beiden Verträge nicht offen sind (Unverified). Das ist so, als würde man dir einen Haufen Durcheinander (Bytecode) geben und dich bitten, in zehntausenden von Zeilen Durcheinander einen logischen Fehler zu finden.

• Menschliche Methode: Erfordert extrem tiefgehende Kenntnisse in Reverse Engineering, dauert Tage oder sogar Wochen.

• KI-Methode:

  1. Sekunden-schnelle Dekompilierung: KI-Tools stellen sofort den Code aus dem Durcheinander wieder her, sodass er ungefähr verständlich wird.

  2. Mustererkennung: Die Augen der KI sind das Maß. Sie sieht sofort die fatale Kombination: CALLDATACOPY (Benutzereingabe kopieren) + .call() (Aufruf ausführen).

  3. Massen-Scan: KI kann unermüdlich zehntausende von Verträgen auf der Blockchain scannen.

Innerhalb eines Tages, zwei verschiedene Projekte, dieselbe versteckte Schwachstelle, derselbe nicht offene Code. Das ist kein Zufall, das ist industrielle Ausbeutung.

4 2026 Überlebensleitfaden: Was sollen wir tun?

Dieses Ereignis hat uns die Alarmglocken läuten lassen: Geschlossene Quellen sind kein Schutzschild, vor KI gibt es keine Geheimnisse.

Als normaler Benutzer, der nicht das nächste Opfer werden möchte, merke dir diese drei eiserne Regeln:

1. Lege „unbegrenzte Genehmigungen“ ab

Spar nicht an Gasgebühren, indem du „Max“ oder „unbegrenzt“ auswählst! Wenn du nur 1000 U tauschen möchtest, autorisiere nur 1000 U. Selbst wenn das Protokoll gehackt wird, kann der Hacker nur diese 1000 U stehlen, nicht dein gesamtes Vermögen.

2. Regelmäßige Bereinigung der Genehmigungen

Gehe zu Revoke.cash oder Rabby Wallet und überprüfe die Protokolle, die du lange nicht genutzt hast, und widerrufe die Genehmigungen (Revoke). Jeder Schlüssel, den du dort hinterlässt, ist ein Damoklesschwert über deinem Kopf.

3. Halte dich von „Black-Box“-Projekten fern

Wenn ein DeFi-Projekt sich nicht einmal traut, den Code zur Überprüfung zu öffnen (Unverified), egal wie hoch die Rendite ist, fasse es nicht an! Wenn sie sich nicht einmal trauen, den Code zu zeigen, gibt es entweder etwas zu verbergen oder sie haben ihn so schlecht geschrieben, dass sie Angst vor Kritik haben.

Zusammenfassung:

In der Welt von Web3 ist Code das Gesetz. Aber wenn KI schneller als Menschen rechtliche Lücken entdecken kann, hat sich dieses Katz-und-Maus-Spiel bereits weiterentwickelt.

Für Hacker ist der beliebige Aufruf-Fehler wie ein unterschriebenen leeres Scheck. Und für uns bedeutet es, unsere Genehmigungen gut zu verwalten, das letzte Bollwerk für unsere Brieftasche zu bewahren.

Leite es an deine Freunde im Krypto-Bereich weiter, lass nicht zu, dass ihre Genehmigungen zur Geldmaschine für Hacker werden! 🛡️

Risikohinweis: Dieser Artikel dient nur zur technischen Aufklärung und stellt keine Anlageberatung dar. DeFi birgt hohe Risiken, bitte sei verantwortlich für dein Vermögen.👇

------------ich---------bin-------die--------Trenn--------linie--------------

Haftungsausschluss: Der Inhalt dieses Artikels dient dem Zweck, Geschäftsmodelle und Wissensvermittlung zu teilen und ist nicht als spezifische Beratung gedacht. Der Autor ist nicht beteiligt, investiert nicht, betreibt nicht, empfiehlt nicht, teilt nicht und analysiert keine Projekte privat. Wir empfehlen dir dringend, unabhängige Recherchen und Analysen durchzuführen und basierend auf deiner persönlichen Situation informierte Entscheidungen zu treffen.

Wenn Ihnen dieser Inhalt gefällt, freuen wir uns über Likes, Follows, Kommentare und Shares, mehr technische Analysen usw.🌹$ETH $XRP $BNB

BNBUSDT

Perp

596.51

-2.74%

XRPUSDT

Perp

1.3748

-1.15%

ETHUSDT

Perp

1,968.05

-0.87%