El agregador DEX es víctima de una explotación de $16.8M en SwapNet tras omitir la aprobación

• Anuncio -

El agregador de intercambios descentralizados Matcha Meta ha confirmado un incidente de seguridad vinculado a su integración SwapNet, que ha resultado en una pérdida estimada de $16.8 millones.

La brecha fue detectada inicialmente por la firma de seguridad blockchain PeckShield, y más tarde CertiK proporcionó un análisis técnico adicional.

Qué salió mal

Según los hallazgos compartidos por investigadores de seguridad, el exploit afectó específicamente a usuarios que habían desactivado la función “One-Time Approval” (Aprobación de una sola vez) de Matcha Meta. Al optar por no participar, esos usuarios otorgaron permisos persistentes directamente al contrato del router de SwapNet, creando una superficie de ataque que luego se abusó.

#PeckShieldAlert Matcha Meta ha informado una brecha de seguridad que involucra SwapNet. Los usuarios que optaron por no recibir “One-Time Approvals” corren riesgo.

Hasta ahora, se ha drenado cripto por valor de ~$16.8M.

En #Base, el atacante intercambió ~10.5M $USDC por ~3,655 $ETH y ha comenzado a transferir fondos a… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 de enero de 2026

CertiK identificó la causa raíz como una vulnerabilidad de “llamada arbitraria” en el contrato SwapNet. Este fallo permitió que un atacante iniciara transferencias no autorizadas desde carteras que previamente habían aprobado el router, eludiendo efectivamente las salvaguardas normales.

Movimiento de fondos y alcance

La actividad on-chain muestra que el atacante intercambió aproximadamente $10.5 millones en USDC en Base por alrededor de 3,655 ETH, antes de transferir los activos a Ethereum. El movimiento entre cadenas parece estar diseñado para complicar el seguimiento y los esfuerzos de recuperación.

Importante: el incidente no afectó a todos los usuarios de Matcha. La exposición se limitó a carteras que habían desactivado manualmente las aprobaciones de una sola vez y habían otorgado permisos directos a contratos de SwapNet.

                Bitcoin supera a Oro y Plata en la encuesta de inversión de $100,000

Medidas de respuesta de emergencia

En respuesta al exploit, Matcha Meta ha tomado varios pasos inmediatos:

• Los contratos de SwapNet se han suspendido para evitar pérdidas adicionales.
• Se ha instado a los usuarios a revocar las aprobaciones existentes, especialmente para el contrato del router de SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• La plataforma eliminó la opción de desactivar las aprobaciones de una sola vez, con el objetivo de reducir riesgos similares de cara al futuro.

El incidente pone de relieve los compromisos de seguridad asociados con las aprobaciones persistentes de contratos y refuerza la importancia de realizar revisiones periódicas de permisos, especialmente al interactuar con agregadores y contratos de enrutamiento.