L'agrégateur DEX victime d'une exploitation de SwapNet de 16,8 millions de dollars après contournement de l'approbation

• Annonce -

L’agrégateur d’échanges décentralisés Matcha Meta a confirmé un incident de sécurité lié à son intégration SwapNet, entraînant une perte estimée à 16,8 millions $.

La faille a d’abord été signalée par le cabinet de sécurité blockchain PeckShield, puis une analyse technique plus approfondie a été fournie par CertiK.

Ce Qui A Mal Fait

Selon les conclusions partagées par des chercheurs en sécurité, l’exploitation a spécifiquement touché les utilisateurs qui avaient désactivé la fonctionnalité « One-Time Approval » de Matcha Meta. En optant pour la sortie, ces utilisateurs ont accordé des autorisations persistantes directement au contrat du routeur SwapNet, créant une surface d’attaque qui a ensuite été exploitée.

#PeckShieldAlert Matcha Meta a signalé une faille de sécurité impliquant SwapNet. Les utilisateurs qui ont choisi de refuser les « One-Time Approvals » sont exposés à un risque.

Jusqu’à présent, environ ~16,8M de crypto ont été drainés.

Sur #Base, l’attaquant a échangé ~10,5M $USDC contre ~3,655 $ETH et a commencé à transférer les fonds vers… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 janvier 2026

CertiK a identifié la cause première comme une vulnérabilité « d’appel arbitraire » dans le contrat SwapNet. Ce défaut a permis à un attaquant d’initier des transferts non autorisés depuis des portefeuilles qui avaient précédemment approuvé le routeur, contournant ainsi les garde-fous habituels.

Mouvements De Fonds Et Portée

Les activités on-chain montrent que l’attaquant a échangé environ 10,5 millions $ en USDC sur Base contre environ 3 655 ETH, avant de transférer les actifs vers Ethereum. Le mouvement inter-chaînes semble conçu pour compliquer le suivi et les efforts de récupération.

Il est important de noter que l’incident n’a pas touché tous les utilisateurs de Matcha. L’exposition était limitée aux portefeuilles qui avaient désactivé manuellement les approbations à usage unique et accordé des autorisations directes aux contrats SwapNet.

                Bitcoin dépasse l’or et l’argent dans un sondage d’investissement de 100 000 dollars

Mesures De Réponse En Urgence

En réponse à l’exploitation, Matcha Meta a pris plusieurs mesures immédiates :

• Les contrats SwapNet ont été suspendus afin d’empêcher de nouvelles pertes.
• Les utilisateurs ont été invités à révoquer les autorisations existantes, en particulier pour le contrat du routeur SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• La plateforme a supprimé l’option permettant de désactiver les approbations à usage unique, dans le but de réduire les risques similaires à l’avenir.

L’incident met en évidence les arbitrages en matière de sécurité associés aux autorisations persistantes des contrats et renforce l’importance de procéder à des revues régulières des permissions, en particulier lors de l’interaction avec des agrégateurs et des contrats de routage.