El agregador DEX es víctima de una explotación de $16.8M en SwapNet tras omitir la aprobación

• Anuncio -

El agregador de exchange descentralizado Matcha Meta ha confirmado un incidente de seguridad vinculado a su integración SwapNet, lo que ha resultado en una pérdida estimada de $16.8 millones.

El incumplimiento fue señalado por primera vez por la firma de seguridad blockchain PeckShield, y más tarde se proporcionó un análisis técnico adicional por parte de CertiK.

Qué salió mal

Según los hallazgos compartidos por investigadores de seguridad, el exploit afectó específicamente a los usuarios que habían desactivado la función de “Aprobación única” de Matcha Meta. Al optar por no participar, esos usuarios otorgaron permisos persistentes directamente al contrato del enrutador SwapNet, creando una superficie de ataque que luego se abusó.

#PeckShieldAlert Matcha Meta ha informado una brecha de seguridad relacionada con SwapNet. Los usuarios que optaron por no participar en “Aprobaciones de un solo uso” están en riesgo.

Hasta ahora, se ha drenado cripto por un valor de ~$16.8M.

En #Base, el atacante intercambió ~10.5M $USDC por ~3,655 $ETH y ha comenzado a enviar fondos mediante puentes hacia… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 de enero de 2026

CertiK identificó la causa raíz como una vulnerabilidad de “llamada arbitraria” en el contrato SwapNet. Este defecto permitió que un atacante iniciara transferencias no autorizadas desde carteras que anteriormente habían aprobado el enrutador, eludiendo efectivamente las salvaguardas normales.

Movimiento de fondos y alcance

La actividad on-chain muestra que el atacante intercambió aproximadamente $10.5 millones en USDC en Base por alrededor de 3,655 ETH, antes de enviar los activos a Ethereum mediante puentes. El movimiento entre cadenas parece diseñado para complicar el seguimiento y los esfuerzos de recuperación.

Importante: el incidente no afectó a todos los usuarios de Matcha. La exposición se limitó a carteras que desactivaron manualmente las aprobaciones de un solo uso y otorgaron permisos directos a los contratos de SwapNet.

                Bitcoin supera a Oro y Plata en la encuesta de inversión de $100,000

Medidas de respuesta de emergencia

En respuesta al exploit, Matcha Meta ha tomado varios pasos inmediatos:

• Los contratos de SwapNet se han suspendido para evitar pérdidas adicionales.
• Se instó a los usuarios a revocar las aprobaciones existentes, en particular para el contrato del enrutador de SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• La plataforma ha eliminado la opción para desactivar las aprobaciones de un solo uso, con el objetivo de reducir riesgos similares en el futuro.

El incidente pone de relieve los compromisos de seguridad asociados con las aprobaciones persistentes de contratos y refuerza la importancia de revisiones periódicas de permisos, especialmente al interactuar con agregadores y contratos de enrutamiento.