L'agrégateur DEX victime d'une exploitation de SwapNet de 16,8 millions de dollars après contournement de l'approbation

• Annonce -

L’agrégateur d’échanges décentralisés Matcha Meta a confirmé un incident de sécurité lié à son intégration SwapNet, entraînant une perte estimée à 16,8 millions de dollars.

L’incident a d’abord été signalé par la société de sécurité blockchain PeckShield, avec une analyse technique plus poussée fournie ultérieurement par CertiK.

Que s’est-il passé ?

D’après les conclusions partagées par des chercheurs en sécurité, l’exploit a spécifiquement touché les utilisateurs qui avaient désactivé la fonctionnalité « One-Time Approval » de Matcha Meta. En choisissant de s’en retirer, ces utilisateurs ont accordé des autorisations persistantes directement au contrat du routeur SwapNet, créant une surface d’attaque qui a ensuite été exploitée.

#PeckShieldAlert Matcha Meta a signalé une faille de sécurité impliquant SwapNet. Les utilisateurs qui se sont retirés des « One-Time Approvals » sont exposés au risque.

À ce jour, des cryptos d’une valeur d’environ ~$16,8M ont été drainées.

Sur #Base, l’attaquant a échangé ~10,5M $USDC contre ~3,655 $ETH et a commencé à transférer des fonds vers… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) le 26 janvier 2026

CertiK a identifié la cause principale comme une vulnérabilité « d’appel arbitraire » dans le contrat SwapNet. Cette faille a permis à un attaquant de lancer des transferts non autorisés depuis des portefeuilles qui avaient déjà approuvé le routeur, contournant ainsi les garde-fous habituels.

Mouvement des fonds et périmètre

L’activité on-chain montre que l’attaquant a échangé environ 10,5 millions de dollars en USDC sur Base contre environ 3 655 ETH, avant de transférer les actifs vers Ethereum. Le mouvement inter-chaînes semble conçu pour compliquer le suivi et les efforts de récupération.

Il est important de noter que l’incident n’a pas affecté l’ensemble des utilisateurs de Matcha. L’exposition a été limitée aux portefeuilles ayant désactivé manuellement les approbations à usage unique et ayant accordé des permissions directes aux contrats SwapNet.

                Bitcoin dépasse l’or et l’argent dans le sondage d’investissement de 100 000 $

Mesures de réponse d’urgence

En réponse à l’exploit, Matcha Meta a pris plusieurs mesures immédiates :

• Les contrats SwapNet ont été suspendus pour empêcher des pertes supplémentaires.
• Les utilisateurs ont été invités à révoquer les approbations existantes, en particulier pour le contrat du routeur SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• La plateforme a supprimé l’option de désactiver les approbations à usage unique, dans le but de réduire des risques similaires à l’avenir.

L’incident met en évidence les compromis en matière de sécurité liés aux approbations persistantes de contrats et renforce l’importance des revues régulières des autorisations, en particulier lors de l’interaction avec des agrégateurs et des contrats de routage.