Agregador DEX atingido por exploração de $16,8M do SwapNet após bypass de aprovação

• Anúncio -

O agregador de exchange descentralizado Matcha Meta confirmou um incidente de segurança associado à sua integração SwapNet, resultando numa perda estimada de $16,8 milhões.

A falha foi inicialmente sinalizada pela empresa de segurança de blockchain PeckShield, com análises técnicas adicionais mais tarde fornecidas pela CertiK.

O que correu mal

De acordo com os resultados partilhados por investigadores de segurança, o exploit afetou especificamente utilizadores que tinham desativado a funcionalidade “One-Time Approval” (Aprovação única) da Matcha Meta. Ao optarem por não participar, esses utilizadores concederam permissões persistentes diretamente ao contrato do router SwapNet, criando uma superfície de ataque que viria a ser explorada.

#PeckShieldAlert A Matcha Meta reportou uma violação de segurança envolvendo a SwapNet. Os utilizadores que optaram por não ativar “One-Time Approvals” estão em risco.

Até agora, cerca de ~$16,8M em cripto foi drenado.

Na #Base, o atacante trocou ~10,5M $USDC por ~3.655 $ETH e começou a fazer bridging de fundos para… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 de janeiro de 2026

A CertiK identificou a causa raiz como uma vulnerabilidade de “chamada arbitrária” no contrato SwapNet. Esta falha permitiu que um atacante iniciasse transferências não autorizadas a partir de wallets que tinham previamente aprovado o router, contornando efetivamente salvaguardas normais.

Movimentação de fundos e âmbito

A atividade on-chain mostra que o atacante trocou aproximadamente $10,5 milhões em USDC na Base por cerca de 3.655 ETH, antes de fazer bridging dos ativos para a Ethereum. A movimentação entre cadeias parece ter sido concebida para complicar o rastreio e os esforços de recuperação.

Importante: o incidente não afetou todos os utilizadores da Matcha. A exposição limitou-se a wallets que desativaram manualmente as aprovações de uma só vez e concederam permissões diretas a contratos SwapNet.

                O Bitcoin ultrapassa ouro e prata numa sondagem de investimento de $100.000

Medidas de resposta de emergência

Em resposta ao exploit, a Matcha Meta tomou várias medidas imediatas:

• Os contratos SwapNet foram suspensos para impedir perdas adicionais.
• Os utilizadores foram instados a revogar aprovações existentes, especialmente para o contrato do router SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• A plataforma removeu a opção de desativar aprovações de uma só vez, com o objetivo de reduzir riscos semelhantes no futuro.

O incidente destaca os trade-offs de segurança associados a aprovações persistentes de contratos e reforça a importância de análises regulares de permissões, especialmente ao interagir com agregadores e contratos de routing.