Agregador DEX atingido por exploração de $16,8M do SwapNet após bypass de aprovação

• Anúncio -

O agregador de exchange descentralizada Matcha Meta confirmou um incidente de segurança associado à sua integração SwapNet, resultando numa perda estimada de 16,8 milhões de dólares.

A violação foi inicialmente sinalizada pela empresa de segurança blockchain PeckShield, com uma análise técnica adicional mais tarde fornecida pela CertiK.

O que correu mal

De acordo com as conclusões partilhadas por investigadores de segurança, o exploit afetou especificamente utilizadores que tinham desativado a funcionalidade “One-Time Approval” da Matcha Meta. Ao optarem por não participar, esses utilizadores concederam permissões persistentes diretamente ao contrato do router SwapNet, criando uma superfície de ataque que foi mais tarde explorada.

#PeckShieldAlert A Matcha Meta comunicou uma violação de segurança envolvendo a SwapNet. Os utilizadores que optaram por não utilizar “One-Time Approvals” estão em risco.

Até agora, cerca de ~$16,8M em cripto foi drenado.

No #Base, o atacante trocou ~10,5M $USDC por ~3,655 $ETH e começou a fazer bridge de fundos para… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 de janeiro de 2026

A CertiK identificou a causa raiz como uma vulnerabilidade de “chamada arbitrária” no contrato SwapNet. Esta falha permitiu a um atacante iniciar transferências não autorizadas a partir de carteiras que tinham previamente aprovado o router, contornando efetivamente as proteções normais.

Movimentação de fundos e âmbito

A atividade on-chain mostra que o atacante trocou aproximadamente 10,5 milhões de dólares em USDC no Base por cerca de 3.655 ETH, antes de fazer bridge dos ativos para a Ethereum. A movimentação entre cadeias parece ter sido concebida para dificultar o rastreio e os esforços de recuperação.

Importante: o incidente não afetou todos os utilizadores da Matcha. A exposição ficou limitada a carteiras que desativaram manualmente aprovações de utilização única e concederam permissões diretas a contratos SwapNet.

                O Bitcoin ultrapassa o Ouro e a Prata numa sondagem de investimento de $100,000

Medidas de resposta de emergência

Em resposta ao exploit, a Matcha Meta tomou vários passos imediatos:

• Os contratos SwapNet foram suspensos para impedir perdas adicionais.
• Os utilizadores foram instados a revogar aprovações existentes, especialmente para o contrato do router SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• A plataforma removeu a opção de desativar aprovações de utilização única, com o objetivo de reduzir riscos semelhantes no futuro.

O incidente destaca os trade-offs de segurança associados a aprovações persistentes de contratos e reforça a importância de revisões regulares de permissões, especialmente ao interagir com agregadores e contratos de routing.