DEXアグリゲーター、承認回避後に$16.8MのSwapNet脆弱性により攻撃される

• 広告 -

分散型取引所アグリゲーターのMatcha Metaは、そのSwapNet統合に関連するセキュリティインシデントを確認し、推定1680万ドルの損失をもたらしました。

この違反は、ブロックチェーンセキュリティ会社のPeckShieldによって最初に警告され、その後CertiKによってさらに技術的な分析が提供されました。

何が間違ったのか

セキュリティ研究者が共有した調査結果によると、この脆弱性は特にMatcha Metaの「一度きりの承認」機能を無効にしたユーザーに影響を与えました。オプトアウトすることで、これらのユーザーはSwapNetルーター契約に対して持続的な権限を直接付与し、後に悪用される攻撃面を作り出しました。

#PeckShieldAlert Matcha Metaは、SwapNetに関するセキュリティ違反を報告しました。「一度きりの承認」をオプトアウトしたユーザーはリスクにさらされています。

現時点で、約1680万ドル相当の暗号が引き出されています。

#Baseでは、攻撃者が約1050万ドルの$USDCを約3,655$ETHに交換し、資金をブリッジし始めました… pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 2026年1月26日

CertiKは、その根本原因をSwapNet契約における「任意呼び出し」脆弱性として特定しました。この欠陥により、攻撃者はルーターを以前に承認したウォレットから無許可の送金を開始することができ、通常の安全対策を回避しました。

資金の移動と範囲

オンチェーンの活動は、攻撃者がBaseで約1050万ドルのUSDCを約3,655ETHに交換し、資産をEthereumにブリッジしたことを示しています。クロスチェーンの移動は、追跡と回収の努力を複雑にすることを目的としているようです。

重要なことに、このインシデントはすべてのMatchaユーザーに影響を与えたわけではありません。影響を受けたのは、一度きりの承認を手動で無効にし、SwapNet契約に直接権限を付与したウォレットに限られています。

                ビットコインが10万ドルの投資調査で金と銀を上回る

緊急対応措置

この脆弱性に対処するため、Matcha Metaは以下のいくつかの即時の措置を講じました：

• SwapNet契約はさらなる損失を防ぐために一時停止されました。
• ユーザーには、特にSwapNetルーター契約
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e)の既存の承認を取り消すよう促されています。
• プラットフォームは、一度きりの承認を無効にするオプションを削除し、今後の類似のリスクを減少させることを目指しています。

このインシデントは、持続的な契約承認に伴うセキュリティのトレードオフを浮き彫りにし、特にアグリゲーターやルーティング契約と相互作用する際の定期的な権限レビューの重要性を強調しています。