El agregador DEX es víctima de una explotación de $16.8M en SwapNet tras omitir la aprobación

• Anuncio -

El agregador de intercambio descentralizado Matcha Meta ha confirmado un incidente de seguridad vinculado a su integración SwapNet, resultando en una pérdida estimada de $16.8 millones.

La violación fue señalada por primera vez por la firma de seguridad blockchain PeckShield, con un análisis técnico adicional proporcionado más tarde por CertiK.

Qué Salió Mal

Según los hallazgos compartidos por los investigadores de seguridad, la explotación impactó específicamente a los usuarios que habían desactivado la función de “Aprobación de Una Sola Vez” de Matcha Meta. Al optar por no participar, esos usuarios otorgaron permisos persistentes directamente al contrato del enrutador SwapNet, creando una superficie de ataque que fue abusada posteriormente.

#PeckShieldAlert Matcha Meta ha reportado una violación de seguridad involucrando a SwapNet. Los usuarios que optaron por no participar en “Aprobaciones de Una Sola Vez” están en riesgo.

Hasta ahora, se han drenado ~$16.8M en criptomonedas.

En #Base, el atacante cambió ~10.5M $USDC por ~3,655 $ETH y ha comenzado a puentear fondos a… pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 de enero de 2026

CertiK identificó la causa raíz como una vulnerabilidad de “llamada arbitraria” en el contrato de SwapNet. Este defecto permitió a un atacante iniciar transferencias no autorizadas desde billeteras que habían aprobado previamente el enrutador, eludiendo efectivamente las salvaguardias normales.

Movimiento de Fondos y Alcance

La actividad en cadena muestra que el atacante cambió aproximadamente $10.5 millones en USDC en Base por alrededor de 3,655 ETH, antes de puentear los activos a Ethereum. El movimiento entre cadenas parece estar diseñado para complicar los esfuerzos de seguimiento y recuperación.

Importante, el incidente no afectó a todos los usuarios de Matcha. La exposición fue limitada a billeteras que habían desactivado manualmente las aprobaciones de una sola vez y otorgaron permisos directos a los contratos de SwapNet.

                Bitcoin Supera a Oro y Plata en Encuesta de Inversión de $100,000

Medidas de Respuesta de Emergencia

En respuesta a la explotación, Matcha Meta ha tomado varias medidas inmediatas:

• Los contratos de SwapNet han sido suspendidos para prevenir más pérdidas.
• Se ha instado a los usuarios a revocar las aprobaciones existentes, particularmente para el contrato del enrutador SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• La plataforma ha eliminado la opción de desactivar las aprobaciones de una sola vez, con el objetivo de reducir riesgos similares en el futuro.

El incidente destaca las compensaciones de seguridad asociadas con las aprobaciones persistentes de contratos y refuerza la importancia de revisar regularmente los permisos, especialmente al interactuar con agregadores y contratos de enrutamiento.