El agregador DEX es víctima de una explotación de $16.8M en SwapNet tras omitir la aprobación

• Anuncio -

El agregador de intercambio descentralizado Matcha Meta ha confirmado un incidente de seguridad vinculado a su integración SwapNet, lo que resultó en una pérdida estimada de $16.8 millones.

La violación fue señalada por primera vez por la firma de seguridad blockchain PeckShield, con un análisis técnico adicional proporcionado más tarde por CertiK.

Qué Salió Mal

Según los hallazgos compartidos por los investigadores de seguridad, la explotación impactó específicamente a los usuarios que habían deshabilitado la función de “Aprobación Única” de Matcha Meta. Al optar por no participar, esos usuarios otorgaron permisos persistentes directamente al contrato del enrutador SwapNet, creando una superficie de ataque que fue posteriormente abusada.

#PeckShieldAlert Matcha Meta ha reportado una violación de seguridad que involucra a SwapNet. Los usuarios que optaron por no participar de “Aprobaciones Únicas” están en riesgo.

Hasta ahora, se han drenado ~$16.8M en criptomonedas.

En #Base, el atacante intercambió ~10.5M $USDC por ~3,655 $ETH y ha comenzado a puentear fondos a… pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 de enero de 2026

CertiK identificó la causa raíz como una vulnerabilidad de “llamada arbitraria” en el contrato de SwapNet. Este defecto permitió a un atacante iniciar transferencias no autorizadas desde billeteras que habían aprobado previamente el enrutador, eludiendo efectivamente las salvaguardias normales.

Movimiento de Fondos y Alcance

La actividad en cadena muestra que el atacante intercambió aproximadamente $10.5 millones en USDC en Base por alrededor de 3,655 ETH, antes de puentear los activos a Ethereum. El movimiento entre cadenas parece diseñado para complicar los esfuerzos de seguimiento y recuperación.

Es importante destacar que el incidente no afectó a todos los usuarios de Matcha. La exposición se limitó a las billeteras que habían deshabilitado manualmente las aprobaciones únicas y otorgado permisos directos a los contratos de SwapNet.

                Bitcoin Supera a Oro y Plata en Encuesta de Inversión de $100,000

Medidas de Respuesta de Emergencia

En respuesta a la explotación, Matcha Meta ha tomado varias medidas inmediatas:

• Los contratos de SwapNet han sido suspendidos para prevenir más pérdidas.
• Se ha instado a los usuarios a revocar las aprobaciones existentes, particularmente para el contrato del enrutador SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• La plataforma ha eliminado la opción de deshabilitar las aprobaciones únicas, con el objetivo de reducir riesgos similares en el futuro.

El incidente destaca las compensaciones de seguridad asociadas con las aprobaciones de contratos persistentes y refuerza la importancia de revisiones regulares de permisos, especialmente al interactuar con agregadores y contratos de enrutamiento.