El agregador DEX es víctima de una explotación de $16.8M en SwapNet tras omitir la aprobación

CoffeeNFTrader · 2026-04-03T11:23:45+00:00

Matcha Meta enfrentó una brecha de seguridad vinculada a su integración con SwapNet, lo que resultó en una pérdida de $16.8 millones. La explotación se dirigió a los usuarios que desactivaron la función de "Aprobación Única", lo que permitió transferencias de fondos no autorizadas. Matcha ha suspendido los contratos y ha instado a los usuarios a revocar las aprobaciones para prevenir riesgos adicionales.

CoffeeNFTrader

2026-04-03 11:23:45

Generación de resúmenes en curso

Anuncio -

El agregador de intercambios descentralizados Matcha Meta ha confirmado un incidente de seguridad vinculado a su integración SwapNet, lo que ha provocado una pérdida estimada de $16.8 millones.

La brecha fue detectada por primera vez por la firma de seguridad blockchain PeckShield, y posteriormente se proporcionó un análisis técnico adicional por parte de CertiK.

Qué salió mal

Según las conclusiones compartidas por investigadores de seguridad, el exploit afectó específicamente a usuarios que habían desactivado la función de “Aprobación única” de Matcha Meta. Al optar por no participar, esos usuarios otorgaron permisos persistentes directamente al contrato del router de SwapNet, creando una superficie de ataque que luego fue explotada.

#PeckShieldAlert Matcha Meta ha informado una brecha de seguridad que involucra SwapNet. Los usuarios que optaron por no participar en las “Aprobaciones de una sola vez” están en riesgo.

Hasta ahora, ~$16.8M en cripto se ha drenado.

En #Base, el atacante intercambió ~10.5M $USDC por ~3,655 $ETH y ha comenzado a puentear fondos a… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 de enero de 2026

CertiK identificó la causa raíz como una vulnerabilidad de “llamada arbitraria” en el contrato de SwapNet. Este fallo permitió a un atacante iniciar transferencias no autorizadas desde carteras que previamente habían aprobado el router, eludiendo efectivamente las salvaguardas normales.

Movimiento de fondos y alcance

La actividad en cadena muestra que el atacante intercambió aproximadamente $10.5 millones en USDC en Base por alrededor de 3,655 ETH, antes de puentear los activos a Ethereum. El movimiento entre cadenas parece diseñado para complicar el seguimiento y los esfuerzos de recuperación.

Importante: el incidente no afectó a todos los usuarios de Matcha. La exposición se limitó a carteras que habían desactivado manualmente las aprobaciones de una sola vez y habían concedido permisos directos a los contratos de SwapNet.

                Bitcoin supera a Oro y Plata en la encuesta de inversión de $100,000

Medidas de respuesta de emergencia

En respuesta al exploit, Matcha Meta ha tomado varios pasos inmediatos:

Los contratos de SwapNet han sido suspendidos para prevenir pérdidas adicionales.
Se pidió a los usuarios que revocaran aprobaciones existentes, en particular para el contrato del router de SwapNet
(0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
La plataforma eliminó la opción de desactivar las aprobaciones de una sola vez, con el objetivo de reducir riesgos similares en el futuro.

El incidente resalta los compromisos de seguridad asociados con las aprobaciones persistentes de contratos y refuerza la importancia de las revisiones periódicas de permisos, especialmente al interactuar con agregadores y contratos de enrutamiento.

ETH-0,49%

Ver originales

Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.