El agregador DEX es víctima de una explotación de $16.8M en SwapNet tras omitir la aprobación

• Aviso -

El agregador de exchange descentralizado Matcha Meta ha confirmado un incidente de seguridad vinculado a su integración de SwapNet, que ha resultado en una pérdida estimada de $16.8 millones.

La filtración fue detectada por primera vez por la firma de seguridad blockchain PeckShield, y posteriormente se proporcionó un análisis técnico adicional por CertiK.

Qué salió mal

Según hallazgos compartidos por investigadores de seguridad, el exploit afectó específicamente a los usuarios que habían desactivado la función de “One-Time Approval” de Matcha Meta. Al optar por no participar, esos usuarios otorgaron permisos persistentes directamente al contrato del router de SwapNet, creando una superficie de ataque que luego fue aprovechada.

#PeckShieldAlert Matcha Meta ha reportado una brecha de seguridad que involucra SwapNet. Los usuarios que optaron por no participar en las “One-Time Approvals” están en riesgo.

Hasta ahora, ~$16.8M en cripto se ha drenado.

En #Base, el atacante intercambió ~10.5M $USDC por ~3,655 $ETH y ha comenzado a hacer bridging de fondos hacia… pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) January 26, 2026

CertiK identificó la causa raíz como una vulnerabilidad de “llamada arbitraria” en el contrato de SwapNet. Este fallo permitió que un atacante iniciara transferencias no autorizadas desde wallets que habían aprobado previamente el router, eludiendo efectivamente las salvaguardas normales.

Movimiento de fondos y alcance

La actividad on-chain muestra que el atacante intercambió aproximadamente $10.5 millones en USDC en Base por alrededor de 3,655 ETH, antes de hacer bridging de los activos hacia Ethereum. El movimiento entre cadenas parece estar diseñado para complicar el rastreo y los esfuerzos de recuperación.

Importantly, el incidente no afectó a todos los usuarios de Matcha. La exposición se limitó a wallets que habían desactivado manualmente las aprobaciones de una sola vez y habían otorgado permisos directos a los contratos de SwapNet.

                Bitcoin supera a oro y plata en la encuesta de inversión de $100,000

Medidas de respuesta de emergencia

En respuesta al exploit, Matcha Meta ha tomado varios pasos inmediatos:

• Se han suspendido los contratos de SwapNet para prevenir pérdidas adicionales.
• Se ha instado a los usuarios a revocar las aprobaciones existentes, especialmente para el contrato del router de SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• La plataforma ha eliminado la opción de desactivar las aprobaciones de una sola vez, con el objetivo de reducir riesgos similares en el futuro.

El incidente pone de relieve los compromisos de seguridad asociados con las aprobaciones persistentes de contratos y refuerza la importancia de las revisiones periódicas de permisos, especialmente al interactuar con agregadores y contratos de enrutamiento.