El agregador DEX es víctima de una explotación de $16.8M en SwapNet tras omitir la aprobación

• Anuncio -

El agregador de exchanges descentralizados Matcha Meta ha confirmado un incidente de seguridad vinculado a su integración SwapNet, lo que ha resultado en una pérdida estimada de $16,8 millones.

La brecha fue detectada por primera vez por la firma de seguridad blockchain PeckShield, y más tarde se proporcionó un análisis técnico adicional por parte de CertiK.

Qué salió mal

Según los hallazgos compartidos por investigadores de seguridad, el exploit afectó específicamente a los usuarios que habían desactivado la función “One-Time Approval” de Matcha Meta. Al optar por no participar, esos usuarios concedieron permisos persistentes directamente al contrato del enrutador de SwapNet, creando una superficie de ataque que luego fue abusada.

#PeckShieldAlert Matcha Meta ha reportado una brecha de seguridad relacionada con SwapNet. Los usuarios que optaron por no participar en las “One-Time Approvals” están en riesgo.

Hasta el momento, ~$16,8M en cripto han sido drenados.

En #Base, el atacante intercambió ~10,5M $USDC por ~3,655 $ETH y ha comenzado a hacer puentes con los fondos a… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 de enero de 2026

CertiK identificó la causa raíz como una vulnerabilidad de “llamada arbitraria” en el contrato de SwapNet. Este fallo permitió a un atacante iniciar transferencias no autorizadas desde carteras que previamente habían aprobado el enrutador, eludiendo efectivamente las salvaguardas normales.

Movimiento de fondos y alcance

La actividad on-chain muestra que el atacante intercambió aproximadamente $10,5 millones en USDC en Base por alrededor de 3,655 ETH, antes de hacer puentes con los activos hacia Ethereum. El movimiento entre cadenas parece estar diseñado para complicar el seguimiento y los esfuerzos de recuperación.

Importantly, el incidente no afectó a todos los usuarios de Matcha. La exposición se limitó a carteras que desactivaron manualmente las aprobaciones de una sola vez y concedieron permisos directos a los contratos de SwapNet.

                Bitcoin encabeza el sondeo de inversión de $100.000 superando a Gold y Silver

Medidas de respuesta de emergencia

En respuesta al exploit, Matcha Meta ha tomado varias medidas inmediatas:

• Los contratos de SwapNet se han suspendido para evitar pérdidas adicionales.
• Se ha instado a los usuarios a revocar las aprobaciones existentes, en particular para el contrato del enrutador de SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• La plataforma ha eliminado la opción para desactivar las aprobaciones de una sola vez, con el objetivo de reducir riesgos similares en el futuro.

El incidente pone de manifiesto los compromisos de seguridad asociados con las aprobaciones persistentes de contratos y refuerza la importancia de las revisiones periódicas de permisos, especialmente al interactuar con agregadores y contratos de enrutamiento.