В один день украли 16 миллионов долларов! Раскрытие самой «послушной» уязвимости в истории Web3: почему ваши разрешения стали банкоматом для хакеров?

Братья, в 2026 году начинается большой спектакль. В конце прошлого месяца (25 января) на блокчейне произошло нечто крайне странное.

Два совершенно разных проекта — SwapNet на базе Base и Aperture Finance на Ethereum были украдены в один и тот же день.

Один потерял 13,3 миллиона долларов, другой — 3,2 миллиона долларов.

Самое страшное не в сумме, а в том, что метод преступления абсолютно идентичен, а даже код уязвимости выглядит так, словно вырезан из одной и той же формы. Более того, оба контракта находятся в состоянии закрытого доступа (Unverified).

Человеческим хакерам трудно в течение одного дня взломать два сложных кода черного ящика. В кругу специалистов считается, что это произведение хакера AI.

Сегодня мы простым языком разберем, что такое этот **«уязвимость произвольного вызова»**, из-за которой множество людей потеряли все.

1 Основная уязвимость: контракт стал «глупым»

Суть этой атаки заключается в уязвимости, известной как «произвольный вызов (Arbitrary Call)». Звучит профессионально? Не паникуйте, я приведу вам аналогию.

Раньше нормальная логика:

Вы идете в банк (DeFi протокол) для совершения сделки, кассир (умный контракт) строго проверяет вашу инструкцию:

• «Вы хотите перевести деньги? Хорошо, подпись верная? Баланс достаточный?»

• «Вы хотите внести деньги? Хорошо, вот вам квитанция.» Кассир выполняет только строго определенные операции.

Логика этого уязвимости (произвольный вызов):

В контракте SwapNet есть специальная «функция», которая ведет себя как совершенно бессмысленный «микрофон». Хакер говорит ему: «Эй, SwapNet, я даю тебе конверт, передай его в банк USDC и сделай то, что написано в конверте от своего имени.»

Контракт SwapNet говорит: «Хорошо!» И он, даже не глядя, что написано в конверте, просто пошел с ним в банк USDC.

Смертельная проблема заключается в следующем:

1. Он не проверяет, кому предназначен конверт (Target).

2. Он не проверяет, что написано в конверте (Data).

3. Самое страшное, что он выполняет это от своего имени (SwapNet)!

2 Полный процесс атаки: как ваши деньги пропали?

Помните ли вы первый шаг, когда играете в DeFi? «Разрешение (Approve)». Обычно вы разрешаете SwapNet использовать ваши USDC в кошельке (даже неограниченный лимит).

Это эквивалентно тому, что вы дали SwapNet запасной ключ, чтобы он мог в любой момент вывести ваши деньги.

Сценарий атаки следующий:

1. Жертва: добросердечный пользователь, ради удобства предоставил контракту SwapNet неограниченные разрешения (Unlimited Approval).

2. Хакер: обнаружил, что SwapNet имеет функцию «глупого» пересказа.

3. Хакер формирует инструкцию: он написал записку (CallData), в которой сказано: «Переведите 10 миллионов USDC из кошелька жертвы хакеру.

4. Удар ножом в спину:

   • Хакер вызывает уязвимую функцию SwapNet.

   • SwapNet получил записку и от своего имени отправил этот запрос на перевод к контракту USDC.

5. Перспектива контракта USDC:

   • «Эй? Кто-то требует перевести деньги жертвы.»

   • «Кто инициировал? О, это SwapNet.»

   • «Проверьте запись, жертва разрешала ли SwapNet использовать его деньги?»

   • «Разрешено! Никаких проблем, переводите!»

6. Результат: деньги жертвы мгновенно переведены, SwapNet стал идеальным пособником.

Одним предложением: хакер воспользовался вашим «доверие», превратив SwapNet в его «перчатки без рук».

3 Почему говорят, что это делал AI?

Если бы код был открытым, хакеры могли бы увидеть эту грубую ошибку с первого взгляда. Но проблема в том, что оба контракта закрыты (Unverified). Это все равно что дать вам кучу мусора (байт-код) и попросить найти логическую уязвимость среди десятков тысяч строк мусора.

• Методы человека: требуется чрезвычайно глубокое понимание реверсивного программирования, занимает несколько дней или даже недель.

• Методы AI:

  1. Мгновенная декомпиляция: инструменты AI мгновенно восстанавливают мусор в примерно понятный псевдокод.

  2. Распознавание шаблонов: глаза AI — это линейка. Он сразу увидел эту смертельную комбинацию: CALLDATACOPY (копировать ввод пользователя) + .call() (выполнить вызов).

  3. Пакетное сканирование: AI может бессонно сканировать тысячи контрактов на блокчейне.

В течение одного дня два разных проекта с одинаковыми скрытыми уязвимостями и одинаковым закрытым кодом. Это не совпадение, это промышленный сбор.

4 2026 Руководство по выживанию: что нам делать?

Этот инцидент дал нам сигнал: закрытый код не является амулетом, перед AI нет секретов.

Как обычный пользователь, не желая стать следующей жертвой, запомните эти три железных правила:

1. Отказ от «неограниченных разрешений»

Не стоит экономить на Gas и нажимать «Max» или «Неограниченный лимит»! Если вы планируете обменять только 1000 U, то только и разрешайте 1000 U. Даже если протокол будет взломан, хакеры смогут забрать только эти 1000 U, а не все ваши сбережения.

2. Регулярно очищайте разрешения

Зайдите на Revoke.cash или в кошелек Rabby, проверьте те протоколы, которые давно не использовались, и срочно отмените разрешения (Revoke). Каждое оставленное вами ключевое слово — это меч Дамокла, висящий над вами.

3. Держитесь подальше от «черных ящиков»

Если проект DeFi даже не осмеливается открыто проверить код (Unverified), независимо от того, насколько высока его доходность, не трогайте его! Если он не позволяет людям видеть код, то это либо мошенничество, либо код написан так плохо, что боится критики.

Итоги:

В мире Web3 код — это закон. Но когда AI может быстрее, чем человек, обнаружить юридические дыры, эта игра в кошки-мышки перешла на новый уровень.

Для хакеров уязвимость произвольного вызова подобна подписанному пустому чеку. А для нас, управление своими разрешениями — это последняя линия защиты нашего кошелька.

Перешлите своим друзьям из криптомира, не позволяйте их разрешениям превратиться в банкомат для хакеров! 🛡️

Предупреждение о рисках: данный текст предназначен только для технического просвещения и не является инвестиционным советом. Риски DeFi крайне высоки, пожалуйста, отвечайте за свои активы.👇

------------я---------это-------раздел--------граница--------------

Отказ от ответственности: содержание данной статьи предназначено для обмена бизнес-моделями и распространения знаний и не является конкретным советом. Автор не участвует, не инвестирует, не управляет, не советует, не делится и не анализирует никакие проекты в частном порядке. Перед тем, как принимать какие-либо решения, мы настоятельно рекомендуем вам провести независимое исследование и анализ и принимать обоснованные решения в зависимости от вашей личной ситуации.

Если вам понравилось это содержание, пожалуйста, ставьте лайки, подписывайтесь, оставляйте комментарии и делитесь, больше технических разборов и т.д.🌹$ETH $XRP $BNB

BNBUSDT

Бесср

627.3

-0.11%

XRPUSDT

Бесср

1.418

-1.45%

ETHUSDT

Бесср

2,031.88

-0.88%