DEXアグリゲーター、承認回避後に$16.8MのSwapNet脆弱性により攻撃される

• 広告 -

分散型取引所アグリゲーターのMatcha Metaは、SwapNet統合に関連するセキュリティインシデントを確認し、推定1680万ドルの損失を引き起こしました。

この侵害は、ブロックチェーンセキュリティ企業のPeckShieldによって最初に警告され、その後CertiKによるさらなる技術分析が提供されました。

何が間違っていたのか

セキュリティ研究者が共有した調査結果によると、この脆弱性は具体的にMatcha Metaの「ワンタイム承認」機能を無効にしたユーザーに影響を与えました。オプトアウトすることで、これらのユーザーはSwapNetルーター契約に対して持続的な権限を付与し、後に悪用される攻撃面を作り出しました。

#PeckShieldAlert Matcha MetaはSwapNetに関するセキュリティ侵害を報告しました。「ワンタイム承認」をオプトアウトしたユーザーはリスクにさらされています。

現在までに、約1680万ドル相当の暗号通貨が流出しています。

#Baseで攻撃者は約1050万ドルの$USDCを約3655$ETHに交換し、資金を… https://t.co/QOyV4IU3P3 にブリッジし始めました pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 2026年1月26日

CertiKは、SwapNet契約における「任意の呼び出し」脆弱性が根本原因であることを特定しました。この欠陥により、攻撃者は以前にルーターを承認したウォレットから無許可の転送を開始することができ、通常の保護機能を効果的に回避しました。

資金の移動と範囲

オンチェーンの活動は、攻撃者がBase上で約1050万ドルのUSDCを約3655 ETHに交換し、その後資産をEthereumにブリッジしたことを示しています。クロスチェーンの移動は、追跡と回収の努力を複雑にすることを目的としているようです。

重要なのは、今回の事件が全てのMatchaユーザーに影響を与えたわけではないことです。影響は、ワンタイム承認を手動で無効にし、SwapNet契約に直接権限を与えたウォレットに限定されました。

                ビットコインが$100,000の投資調査で金と銀を上回る

緊急対応措置

この脆弱性に対処するために、Matcha Metaは以下のいくつかの即時措置を講じました：

• SwapNet契約はさらなる損失を防ぐために一時停止されました。
• ユーザーには既存の承認を取り消すよう促されており、特にSwapNetルーター契約
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e)に対して。
• プラットフォームはワンタイム承認を無効にするオプションを削除し、今後の類似リスクを削減することを目指しています。

この事件は、持続的な契約承認に関連するセキュリティのトレードオフを浮き彫りにし、特にアグリゲーターやルーティング契約と相互作用する際の定期的な権限レビューの重要性を強調しています。