L'agrégateur DEX victime d'une exploitation de SwapNet de 16,8 millions de dollars après contournement de l'approbation

• Annonce -

L’agrégateur d’échange décentralisé Matcha Meta a confirmé un incident de sécurité lié à son intégration SwapNet, entraînant une perte estimée à 16,8 millions $.

La faille a d’abord été signalée par la société de sécurité blockchain PeckShield, puis une analyse technique plus poussée a été fournie par CertiK.

Qu’est-ce qui n’a pas fonctionné

D’après les conclusions partagées par des chercheurs en sécurité, l’exploit a spécifiquement touché les utilisateurs qui avaient désactivé la fonctionnalité « One-Time Approval » de Matcha Meta. En se désinscrivant, ces utilisateurs accordaient des autorisations persistantes directement au contrat du routeur SwapNet, créant une surface d’attaque qui a ensuite été exploitée.

#PeckShieldAlert Matcha Meta a signalé une faille de sécurité impliquant SwapNet. Les utilisateurs qui ont choisi de ne pas activer les « One-Time Approvals » sont exposés à un risque.

À ce jour, environ ~16,8M de dollars en crypto ont été vidés.

Sur #Base, l’attaquant a échangé ~10,5M $USDC contre ~3,655 $ETH et a commencé à transférer des fonds vers… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 janvier 2026

CertiK a identifié la cause première comme une vulnérabilité de « appel arbitraire » dans le contrat SwapNet. Ce défaut a permis à un attaquant d’initier des transferts non autorisés depuis des portefeuilles qui avaient déjà approuvé le routeur, contournant ainsi les garde-fous habituels.

Mouvement des fonds et périmètre

L’activité on-chain montre que l’attaquant a échangé environ 10,5 millions $ en USDC sur Base contre environ 3 655 ETH, avant de transférer les actifs vers Ethereum. Le mouvement inter-chaînes semble conçu pour compliquer le suivi et les efforts de récupération.

Il est important de noter que l’incident n’a pas affecté tous les utilisateurs de Matcha. L’exposition a été limitée aux portefeuilles qui avaient désactivé manuellement les autorisations à une seule fois et accordé des permissions directes aux contrats SwapNet.

                Bitcoin dépasse l’or et l’argent dans le sondage d’investissement de 100 000 $

Mesures de réponse d’urgence

En réponse à l’exploit, Matcha Meta a pris plusieurs mesures immédiates :

• Les contrats SwapNet ont été suspendus pour éviter de nouvelles pertes.
• Les utilisateurs ont été invités à révoquer les autorisations existantes, en particulier pour le contrat du routeur SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• La plateforme a supprimé l’option permettant de désactiver les autorisations à une seule fois, afin de réduire les risques similaires à l’avenir.

L’incident met en évidence les compromis en matière de sécurité liés aux autorisations persistantes de contrats et renforce l’importance de procéder à des revues régulières des permissions, en particulier lors d’interactions avec des agrégateurs et des contrats de routage.