Allerta Hack DeFi: Exploit dello Smart Contract di Aperture Finance Subisce una Perdita di $3,67M

Il post Allerta hack DeFi: l'exploit dello smart contract di Aperture Finance subisce una perdita di 3,67 milioni di dollari è apparso per primo su Coinpedia Fintech News

La piattaforma DeFi (Finanza Decentralizzata) Aperture Finance ha subito una grave violazione della sicurezza, perdendo circa 3,67 milioni di dollari in un exploit di smart contract (contratto intelligente). L'azienda di sicurezza blockchain PeckShieldAlert mostra che l'hacker sta attivamente spostando i fondi rubati attraverso Tornado Cash, un servizio di privacy-mixing. 

L'attività ha sollevato nuove preoccupazioni sul recupero dei fondi e su come sia avvenuto l'hack effettivo.

Come è avvenuto l'exploit di Aperture Finance

Secondo PeckShieldAlert, l'hack di Aperture Finance è avvenuto il 25 gennaio 2026, a causa di una debolezza nei suoi smart contract V3 e V4, combinata con le approvazioni di token degli utenti esistenti.
Nelle piattaforme DeFi (Finanza Decentralizzata), gli utenti spesso consentono ai contratti di spostare i loro token ERC-20 o NFT di posizione di liquidità in modo che le operazioni e le strategie possano funzionare automaticamente. Ma in questo caso, l'exploiter ha trovato un difetto nel modo in cui il contratto gestiva quelle autorizzazioni e chiamate di funzione.

Invece di violare i portafogli o rubare chiavi private, l'attaccante ha utilizzato la logica propria del contratto per attivare trasferimenti di asset non autorizzati.

Poiché molti utenti avevano già concesso approvazioni, l'attaccante poteva spostare fondi senza necessità di nuove firme. Questo gli ha permesso di prosciugare asset legati a token approvati e posizioni di liquidità.

Fondi spostati su Tornado Cash dopo l'hack

E tutto questo ha portato all'estrazione di 3,67 milioni di dollari in valore, l'attaccante ha convertito una grande quota in ETH e ha inviato circa 1.242 ETH a Tornado Cash per nascondere le tracce.

Gli attaccanti usano spesso servizi di mixing come Tornado Cash per nascondere l'origine delle criptovalute rubate e rendere il tracciamento più difficile. I fondi sono stati inviati in molteplici piccole transazioni, inclusi lotti da 10 ETH e 100 ETH, un metodo comune utilizzato per evitare attenzione.

Agli utenti è stato chiesto di revocare le approvazioni di token e NFT

Dopo l'exploit, il team di Aperture Finance ha rilasciato un avviso di emergenza e ha condiviso un elenco di indirizzi di contratti interessati. E ha anche avvertito gli utenti di revocare urgentemente sia le approvazioni di token ERC-20 che le approvazioni di posizioni di liquidità ERC-721 legate agli indirizzi a rischio. 

Le approvazioni del portafoglio consentono agli smart contract di spostare i fondi degli utenti e, se lasciate attive, possono essere abusate dopo che un contratto è stato compromesso.