Agregador DEX atingido por exploração de $16,8M do SwapNet após bypass de aprovação

• Anúncio -

O agregador de trocas descentralizadas Matcha Meta confirmou um incidente de segurança ligado à sua integração com o SwapNet, resultando numa perda estimada de 16,8 milhões de dólares.

A violação foi inicialmente sinalizada pela empresa de segurança em blockchain PeckShield, com uma análise técnica adicional posteriormente fornecida pela CertiK.

O Que Deu Errado

De acordo com as descobertas partilhadas por investigadores de segurança, a exploração afetou especificamente os utilizadores que desativaram a funcionalidade de “Aprovação Única” do Matcha Meta. Ao optar por não participar, esses utilizadores concederam permissões persistentes diretamente ao contrato do roteador SwapNet, criando uma superfície de ataque que foi posteriormente explorada.

#PeckShieldAlert Matcha Meta reportou uma violação de segurança envolvendo o SwapNet. Os utilizadores que optaram por não participar das “Aprovações Únicas” estão em risco.

Até agora, ~$16,8M em cripto foram drenados.

Na #Base, o atacante trocou ~10,5M $USDC por ~3.655 $ETH e começou a transferir fundos para… pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 de janeiro de 2026

A CertiK identificou a causa raiz como uma vulnerabilidade de “chamada arbitrária” no contrato do SwapNet. Esta falha permitiu que um atacante iniciasse transferências não autorizadas de carteiras que tinham anteriormente aprovado o roteador, contornando efetivamente as salvaguardas normais.

Movimento e Escopo dos Fundos

A atividade on-chain mostra que o atacante trocou aproximadamente 10,5 milhões em USDC na Base por cerca de 3.655 ETH, antes de transferir os ativos para Ethereum. O movimento cross-chain parece ser projetado para complicar os esforços de rastreamento e recuperação.

Importante, o incidente não afetou todos os utilizadores do Matcha. A exposição foi limitada a carteiras que desativaram manualmente as aprovações únicas e concederam permissões diretas aos contratos do SwapNet.

                O Bitcoin Supera o Ouro e a Prata em Pesquisa de Investimento de $100.000

Medidas de Resposta de Emergência

Em resposta à exploração, o Matcha Meta tomou várias medidas imediatas:

• Os contratos do SwapNet foram suspensos para evitar mais perdas.
• Os utilizadores foram instados a revogar aprovações existentes, particularmente para o contrato do roteador SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• A plataforma removeu a opção de desativar as aprovações únicas, com o objetivo de reduzir riscos semelhantes no futuro.

O incidente destaca os compromissos de segurança associados a aprovações contratuais persistentes e reforça a importância de revisões regulares de permissões, especialmente ao interagir com agregadores e contratos de roteamento.