Agregador DEX atingido por exploração de $16,8M do SwapNet após bypass de aprovação

• Anúncio -

O agregador de bolsas descentralizadas Matcha Meta confirmou um incidente de segurança associado à sua integração SwapNet, resultando numa perda estimada de $16,8 milhões.

A falha foi inicialmente sinalizada pela empresa de segurança blockchain PeckShield, com análises técnicas adicionais mais tarde fornecidas pela CertiK.

O que correu mal

De acordo com conclusões partilhadas por investigadores de segurança, o exploit afetou especificamente utilizadores que tinham desativado a funcionalidade “One-Time Approval” da Matcha Meta. Ao optarem por não participar, esses utilizadores concederam permissões persistentes diretamente ao contrato do router SwapNet, criando uma superfície de ataque que foi mais tarde explorada.

#PeckShieldAlert Matcha Meta informou uma violação de segurança envolvendo SwapNet. Os utilizadores que optaram por não participar nas “One-Time Approvals” correm risco.

Até agora, ~ $16,8M em cripto foi drenado.

No #Base, o atacante trocou ~10,5M $USDC por ~3.655 $ETH e começou a fazer bridging de fundos para… pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 de janeiro de 2026

A CertiK identificou a causa raiz como uma vulnerabilidade de “chamada arbitrária” no contrato SwapNet. Esta falha permitiu que um atacante iniciassse transferências não autorizadas a partir de carteiras que tinham previamente aprovado o router, contornando efetivamente as salvaguardas normais.

Movimentação de fundos e âmbito

A atividade on-chain mostra que o atacante trocou aproximadamente $10,5 milhões em USDC na Base por cerca de 3.655 ETH, antes de fazer bridging dos ativos para a Ethereum. A movimentação entre cadeias parece ter sido concebida para dificultar o rastreamento e os esforços de recuperação.

Importante: o incidente não afetou todos os utilizadores da Matcha. A exposição ficou limitada a carteiras que tinham desativado manualmente as aprovações de uma vez e concedido permissões diretas aos contratos SwapNet.

                O Bitcoin ultrapassa ouro e prata numa sondagem de investimento de $100.000

Medidas de resposta a emergências

Em resposta ao exploit, a Matcha Meta tomou várias medidas imediatas:

• Os contratos SwapNet foram suspensos para impedir perdas adicionais.
• Os utilizadores foram instados a revogar aprovações existentes, especialmente para o contrato router SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• A plataforma removeu a opção de desativar aprovações de uma vez, com o objetivo de reduzir riscos semelhantes no futuro.

O incidente destaca as compensações de segurança associadas às aprovações persistentes de contratos e reforça a importância de revisões regulares de permissões, especialmente ao interagir com agregadores e contratos de routing.