Agregador DEX atingido por exploração de $16,8M do SwapNet após bypass de aprovação

• Anúncio -

O agregador de trocas descentralizadas Matcha Meta confirmou um incidente de segurança ligado à sua integração SwapNet, resultando numa perda estimada de 16,8 milhões de dólares.

A violação foi inicialmente assinalada pela empresa de segurança blockchain PeckShield, com análises técnicas adicionais posteriormente fornecidas pela CertiK.

O que correu mal

De acordo com os resultados partilhados por investigadores de segurança, o exploit afetou especificamente utilizadores que tinham desativado a funcionalidade “One-Time Approval” da Matcha Meta. Ao optarem por não participar, esses utilizadores concederam permissões persistentes diretamente ao contrato do router SwapNet, criando uma superfície de ataque que mais tarde foi explorada.

#PeckShieldAlert A Matcha Meta comunicou uma violação de segurança envolvendo SwapNet. Os utilizadores que optaram por não participar nas “One-Time Approvals” estão em risco.

Até agora, cerca de $16,8M em cripto foram drenados.

No #Base, o atacante trocou ~10,5M $USDC por ~3,655 $ETH e começou a fazer bridging de fundos para… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 de janeiro de 2026

A CertiK identificou a causa raiz como uma vulnerabilidade de “chamada arbitrária” no contrato SwapNet. Esta falha permitiu a um atacante iniciar transferências não autorizadas a partir de carteiras que tinham previamente aprovado o router, contornando efetivamente as salvaguardas normais.

Movimento de fundos e âmbito

A atividade on-chain mostra que o atacante trocou aproximadamente 10,5 milhões de dólares em USDC na Base por cerca de 3.655 ETH, antes de fazer bridging dos ativos para a Ethereum. O movimento entre cadeias parece estar concebido para complicar a monitorização e os esforços de recuperação.

Importante: o incidente não afetou todos os utilizadores da Matcha. A exposição ficou limitada a carteiras que desativaram manualmente as aprovações de uma só vez e concederam permissões diretas aos contratos SwapNet.

                Bitcoin supera ouro e prata numa sondagem de investimento de $100,000

Medidas de resposta de emergência

Em resposta ao exploit, a Matcha Meta tomou várias medidas imediatas:

• Os contratos SwapNet foram suspensos para evitar perdas adicionais.
• Os utilizadores foram instados a revogar aprovações existentes, especialmente para o contrato do router SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• A plataforma removeu a opção de desativar aprovações de uma só vez, com o objetivo de reduzir riscos semelhantes no futuro.

O incidente destaca os trade-offs de segurança associados a aprovações persistentes de contratos e reforça a importância de análises regulares de permissões, especialmente quando interage com agregadores e contratos de routing.