L'agrégateur DEX victime d'une exploitation de SwapNet de 16,8 millions de dollars après contournement de l'approbation

• Publicité -

L’agrégateur d’échanges décentralisés Matcha Meta a confirmé un incident de sécurité lié à son intégration SwapNet, entraînant une perte estimée à 16,8 millions de dollars.

La violation a d’abord été signalée par la société de sécurité blockchain PeckShield, avec une analyse technique supplémentaire fournie par CertiK.

Ce qui a mal tourné

Selon les conclusions partagées par les chercheurs en sécurité, l’exploitation a spécifiquement touché les utilisateurs qui avaient désactivé la fonctionnalité “Approbation Unique” de Matcha Meta. En choisissant de ne pas l’utiliser, ces utilisateurs ont accordé des autorisations persistantes directement au contrat du routeur SwapNet, créant une surface d’attaque qui a ensuite été exploitée.

#PeckShieldAlert Matcha Meta a signalé une violation de sécurité impliquant SwapNet. Les utilisateurs qui ont choisi de ne pas utiliser “Approbations Uniques” sont à risque.

Jusqu’à présent, environ 16,8 millions de dollars de crypto ont été drainés.

Sur #Base, l’attaquant a échangé environ 10,5 millions de $USDC contre environ 3 655 $ETH et a commencé à transférer des fonds vers… pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 janvier 2026

CertiK a identifié la cause profonde comme une vulnérabilité de “appel arbitraire” dans le contrat SwapNet. Ce défaut a permis à un attaquant d’initier des transferts non autorisés depuis des portefeuilles qui avaient précédemment approuvé le routeur, contournant ainsi les protections normales.

Mouvement de fonds et portée

L’activité on-chain montre que l’attaquant a échangé environ 10,5 millions de dollars en USDC sur Base contre environ 3 655 ETH, avant de transférer les actifs vers Ethereum. Ce mouvement inter-chaînes semble conçu pour compliquer les efforts de suivi et de récupération.

Il est important de noter que l’incident n’a pas affecté tous les utilisateurs de Matcha. L’exposition était limitée aux portefeuilles qui avaient manuellement désactivé les approbations uniques et accordé des permissions directes aux contrats SwapNet.

                Le Bitcoin Devance l'Or et l'Argent dans un Sondage d'Investissement de 100 000 $

Mesures d’Urgence

En réponse à l’exploitation, Matcha Meta a pris plusieurs mesures immédiates :

• Les contrats SwapNet ont été suspendus afin de prévenir d’autres pertes.
• Les utilisateurs ont été invités à révoquer les approbations existantes, en particulier pour le contrat du routeur SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• La plateforme a supprimé l’option de désactiver les approbations uniques, visant à réduire les risques similaires à l’avenir.

L’incident met en évidence les compromis en matière de sécurité associés aux approbations de contrats persistants et renforce l’importance des examens réguliers des permissions, en particulier lors de l’interaction avec des agrégateurs et des contrats de routage.