Aperture Finance signale un exploit et appelle les utilisateurs à révoquer les accès

Aperture Finance a confirmé un exploit de sécurité majeur affectant ses smart contracts V3 et V4. L’équipe a indiqué que des attaquants ont exploité une faille dans un contrat pour siphonner les fonds des utilisateurs. L’exploit s’est produit sur plusieurs blockchains, dont Ethereum, BNB Chain, Arbitrum et Base.

Les sociétés de surveillance de la sécurité estiment les pertes totales à environ 17 millions de dollars. L’attaque n’a pas reposé sur des flash loans. Elle a plutôt exploité des autorisations de portefeuilles déjà existantes. Cela signifie que les utilisateurs ayant auparavant approuvé le contrat étaient exposés, même s’ils ne négociaient pas activement au moment des faits. Après avoir détecté le problème, Aperture Finance a désactivé des fonctionnalités clés de son application frontend. Cette décision visait à bloquer toute nouvelle autorisation et à éviter des dégâts supplémentaires.

Qu’est-ce qui a causé la faille

Les premières analyses révèlent un problème de validation des entrées dans les contrats concernés. La faille permettait aux attaquants de déclencher des appels externes arbitraires. En conséquence, le contrat pouvait déplacer des fonds d’utilisateurs déjà approuvés sans contrôles adéquats. Ce type d’attaque cible les permissions plutôt que les pools de liquidité. Une fois qu’un portefeuille accorde une autorisation, le contrat peut agir en son nom. Si ce contrat devient vulnérable, les fonds des utilisateurs se retrouvent exposés.

Des sociétés de sécurité ont identifié le portefeuille de l’attaquant peu après l’exploit. Les données on-chain montrent des transferts de fonds depuis les portefeuilles des utilisateurs vers des adresses connues de l’attaquant. Certains utilisateurs ont signalé des pertes après avoir signé ce qui semblait être des transactions de routine lors de la gestion de leurs pools. Ce schéma rappelle d’autres attaques par drainage d’autorisations observées ces derniers mois. Il montre que même des outils non custodial peuvent devenir dangereux lorsque la logique des contrats échoue.

Réaction de l’équipe et enquête

Aperture Finance a publié une alerte urgente sur X. L’équipe a indiqué avoir suspendu les fonctions principales du frontend afin de bloquer les nouvelles autorisations. Elle a confirmé travailler avec des partenaires de sécurité externes pour identifier la cause profonde de l’incident. Le projet a promis de publier un rapport post-mortem complet une fois les faits vérifiés. Il a également précisé que d’autres mises à jour seraient communiquées au fur et à mesure de l’avancée de l’enquête.

La communauté a rapidement réagi. Certains ont demandé des plans de compensation et de récupération. D’autres ont réclamé une publication plus rapide des détails techniques. À ce stade, l’équipe s’est concentrée sur le confinement de l’incident et la protection des utilisateurs. Des sociétés de sécurité comme Blockaid et TenArmor ont relayé l’alerte. Elles ont qualifié l’incident de drainage basé sur les autorisations, lié à une vulnérabilité d’appel arbitraire.

Ce que les utilisateurs doivent faire maintenant

Aperture Finance a exhorté tous les utilisateurs à révoquer immédiatement les autorisations accordées au contrat vulnérable sur le réseau principal Ethereum :
0xD83d960deBEC397fB149b51F8F37DD3B5CFA8913

Les utilisateurs peuvent révoquer ces permissions via des outils comme le vérificateur d’autorisations d’Etherscan ou Revoke.cash. Toute personne ayant interagi avec Aperture V3 ou V4 par le passé doit effectuer cette démarche, même si elle n’est plus active. Tant que l’équipe n’a pas confirmé un correctif, il est recommandé d’éviter toute nouvelle interaction avec les contrats d’Aperture Finance. De nouvelles autorisations pourraient exposer les portefeuilles à des risques supplémentaires.

Cet incident met en lumière un problème croissant dans la DeFi. De plus en plus d’attaques ciblent désormais la logique des permissions plutôt que les soldes des pools. En conséquence, l’hygiène des autorisations devient aussi essentielle que le choix de protocoles sûrs. Pour l’instant, le message est clair : révoquer les accès, éviter toute interaction et attendre les mises à jour officielles de l’équipe.