Agregador DEX atingido por exploração de $16,8M do SwapNet após bypass de aprovação

• Anúncio -

O agregador de bolsas descentralizadas Matcha Meta confirmou um incidente de segurança associado à sua integração SwapNet, resultando numa perda estimada de $16.8 milhões.

A falha foi inicialmente sinalizada pela empresa de segurança blockchain PeckShield, com análises técnicas adicionais fornecidas mais tarde pela CertiK.

O que correu mal

De acordo com conclusões partilhadas por investigadores de segurança, o exploit afetou especificamente utilizadores que tinham desativado a funcionalidade “One-Time Approval” da Matcha Meta. Ao optarem por não aderir, esses utilizadores concederam permissões persistentes diretamente ao contrato do router da SwapNet, criando uma superfície de ataque que foi mais tarde abusada.

#PeckShieldAlert Matcha Meta reportou uma violação de segurança envolvendo SwapNet. Os utilizadores que optaram por não ativar “One-Time Approvals” estão em risco.

Até agora, cerca de ~$16.8M em cripto foi drenado.

No #Base, o atacante trocou ~10.5M $USDC por ~3,655 $ETH e começou a fazer bridging de fundos para… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 de janeiro de 2026

A CertiK identificou a causa raiz como uma vulnerabilidade de “chamada arbitrária” no contrato SwapNet. Esta falha permitiu a um atacante iniciar transferências não autorizadas a partir de carteiras que já tinham aprovado previamente o router, contornando efetivamente as salvaguardas normais.

Movimentação de fundos e âmbito

A atividade on-chain mostra que o atacante trocou aproximadamente $10.5 milhões em USDC na Base por cerca de 3,655 ETH, antes de fazer o bridging dos ativos para a Ethereum. A movimentação entre cadeias parece ter sido concebida para dificultar a rastreabilidade e os esforços de recuperação.

Importante: o incidente não afetou todos os utilizadores da Matcha. A exposição ficou limitada a carteiras que desativaram manualmente as aprovações de uma vez e concederam permissões diretas a contratos da SwapNet.

                O Bitcoin ultrapassa o Ouro e a Prata numa sondagem de investimento de $100,000

Medidas de resposta de emergência

Em resposta ao exploit, a Matcha Meta tomou várias medidas imediatas:

• Os contratos SwapNet foram suspensos para evitar perdas adicionais.
• Os utilizadores foram instados a revogar aprovações existentes, particularmente para o contrato do router da SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• A plataforma removeu a opção de desativar aprovações de uma vez, com o objetivo de reduzir riscos semelhantes no futuro.

O incidente destaca os trade-offs de segurança associados a aprovações persistentes de contratos e reforça a importância de revisões regulares de permissões, especialmente ao interagir com agregadores e contratos de routing.