Agregador DEX atingido por exploração de $16,8M do SwapNet após bypass de aprovação

• Anúncio -

O agregador de trocas descentralizadas Matcha Meta confirmou um incidente de segurança relacionado à sua integração com o SwapNet, resultando numa perda estimada de 16,8 milhões de dólares.

A violação foi inicialmente sinalizada pela firma de segurança blockchain PeckShield, com uma análise técnica adicional fornecida posteriormente pela CertiK.

O Que Deu Errado

De acordo com as descobertas partilhadas por investigadores de segurança, a exploração afetou especificamente os utilizadores que tinham desativado a funcionalidade de “Aprovação Única” da Matcha Meta. Ao optar por não participar, esses utilizadores concederam permissões persistentes diretamente ao contrato do roteador SwapNet, criando uma superfície de ataque que foi posteriormente explorada.

#PeckShieldAlert A Matcha Meta relatou uma violação de segurança envolvendo o SwapNet. Usuários que optaram por não participar das “Aprovações Únicas” estão em risco.

Até agora, ~$16.8M em cripto foram drenados.

No #Base, o atacante trocou ~10.5M $USDC por ~3,655 $ETH e começou a transferir fundos para… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 de janeiro de 2026

A CertiK identificou a causa raiz como uma vulnerabilidade de “chamada arbitrária” no contrato SwapNet. Esta falha permitiu que um atacante iniciasse transferências não autorizadas de carteiras que tinham previamente aprovado o roteador, contornando efetivamente as salvaguardas normais.

Movimento e Escopo de Fundos

A atividade na blockchain mostra que o atacante trocou aproximadamente 10,5 milhões de USDC no Base por cerca de 3,655 ETH, antes de transferir os ativos para o Ethereum. O movimento entre cadeias parece ter sido projetado para complicar os esforços de rastreamento e recuperação.

Importante, o incidente não afetou todos os utilizadores da Matcha. A exposição foi limitada a carteiras que desativaram manualmente as aprovações únicas e concederam permissões diretas aos contratos do SwapNet.

                O Bitcoin Supera Ouro e Prata em Pesquisa de Investimento de $100,000

Medidas de Resposta de Emergência

Em resposta à exploração, a Matcha Meta tomou várias medidas imediatas:

• Os contratos do SwapNet foram suspensos para prevenir novas perdas.
• Os utilizadores foram aconselhados a revogar aprovações existentes, particularmente para o contrato do roteador SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• A plataforma removeu a opção de desativar aprovações únicas, visando reduzir riscos semelhantes no futuro.

O incidente destaca os compromissos de segurança associados a aprovações contratuais persistentes e reforça a importância de revisões regulares de permissões, especialmente ao interagir com agregadores e contratos de roteamento.