Что объединяет взломы Aperture и 0xswapnet

В конце января 2026 года экосистема децентрализованных финансов (DeFi) столкнулась с серией взаимосвязанных атак на два криптопроекта — Aperture Finance и 0xswapnet. Хотя эти протоколы выполняли разные задачи и ориентировались на разные категории пользователей, обе платформы оказались уязвимы по одной и той же причине. GetBlock AML Research объясняет причину, по которой оба проекта лишились средств.

В основе атак лежала критическая архитектурная ошибка, связанная с неправильной работой так называемых «бесконечных разрешений» (unlimited approvals) на использование токенов пользователей. Расследование движения украденных средств в блокчейне показало, что за атаками стояла хорошо организованная схема отмывания средств, а также выявило прямую связь с уже известной группой злоумышленников, ранее атаковавших протокол Li.Fi.

Как именно была устроена атака

Взлом был возможен из-за так называемой уязвимости произвольного вызова (arbitrary call). Проще говоря, злоумышленники нашли способ заставить смарт-контракт выполнять команды, на которые он изначально не был рассчитан.

Как получить триллионы токенов бесплатно: кейс взлома Truebit

Хакер использовал баг в смарт-контракте проекта, который позволил выпустить 240 442 509 453 545 333 947 284 131 токенов TRU и заплатить за это 0 ETH

Читать дальше

Что такое «бесконечное разрешение» на токены — простыми словами

Когда пользователь подключает свой кошелек к DeFi-сервису, его часто просят дать разрешение на использование токенов.

Обычно есть два варианта:

• разрешить использование ограниченной суммы,
• или поставить галочку «разрешить все» — так называемое бесконечное разрешение.

Это похоже на ситуацию, когда вы:

• либо даете знакомому ровно 1 000 рублей,
• либо даете ему банковскую карту без лимитов, рассчитывая, что он возьмет только нужное.

Во многих DeFi-приложениях пользователи годами оставляют такие «безлимитные» разрешения, не подозревая об опасности. Именно этим и воспользовались атакующие.

Как происходило хищение средств

Используя уязвимость в коде, злоумышленники:

• запускали команды, которые выглядели легитимными,
• но фактически инициировали несанкционированный перевод токенов с кошельков пользователей,
• при этом средства списывались напрямую, без необходимости взлома самих кошельков.

Все пользователи, которые когда-либо давали этим протоколам бесконечное разрешение, оказались под угрозой — их балансы просто «утекали» на адрес атакующего.

Взлом LastPass в 2022 году: последствия и российский след

За последние несколько лет хакеры использовали украденные данные из LastPass, чтобы завладеть чужими активами на $28 млн

Читать дальше

Движение украденных средств в блокчейне

Анализ транзакций позволил восстановить основной маршрут движения средств, начиная с ключевого адреса злоумышленника в сети Base (это отдельная блокчейн-сеть, совместимая с Ethereum).

Граф движения украденных средств

Взлом Aperture Finance и 0xswapnet: пошагово

Фаза 1: Сбор и конвертация украденных активов

В ходе атаки злоумышленнику удалось вывести примерно 13 миллионов долларов в разных криптоактивах.

Что произошло дальше:

Около 3 млн долларов в USDC (стейблкоин, привязанный к доллару) остались на исходном адресе в сети Base. Вероятная причина — опасения, что такие средства могут быть:

• заморожены,
• отслежены,
• или привлечь внимание из-за своей «прозрачности».

Все остальные токены были быстро обменены на ETH (Ethereum) — более ликвидный и удобный актив для дальнейших операций. В итоге на основном адресе аккумулировалось около 540 ETH, которые стали отправной точкой для дальнейшего перемещения средств.

Математика преступления: как хакеру удалось взломать Yearn на $9 млн

Незначительная ошибка в алгоритме расчета привела к краже криптоактивов у одного из старейших и наиболее авторитетных проектов на крипторынке.

Читать дальше

Фаза 2: Межсетевое отмывание средств

Чтобы максимально запутать следы, злоумышленник применил профессиональную схему отмывания, характерную для опытных хакерских групп. Средства были переведены из сети Base в основную сеть Ethereum. Для этого использовались высокопроизводительные мосты между блокчейнами — специальные сервисы, позволяющие перемещать активы между разными сетями.

Простой пример: это похоже на перевод денег из одного банка в другой через несколько платежных систем подряд.

После попадания средств в основную сеть Ethereum:

• ETH был распределен между множеством новых, ранее неиспользуемых кошельков.
• Эти кошельки на данный момент не совершают никаких операций и находятся в «спящем» состоянии.

Интересная деталь: из-за крупных остатков на этих адресах они стали объектом атак так называемых address poisoning — это когда сторонние мошенники отправляют микропереводы, пытаясь запутать владельца и заставить его по ошибке отправить деньги не туда.

Второй этап атаки и связь с предыдущими взломами

Спустя несколько часов после основной атаки была зафиксирована вторая волна активности, связанная уже исключительно с Aperture Finance.

Связь с ранее известными атаками

Эта группа адресов ранее уже фигурировала в атаках на протокол Li.Fi и Jumper Exchange. Это позволяет с высокой степенью уверенности утверждать, что речь идет не о случайном взломе, а о действиях опытной группы, специализирующейся именно на уязвимостях, связанных с бесконечными разрешениями.