DEX-агрегатор подвергся атаке на сумму $16,8 млн из-за обхода процесса одобрения SwapNet

• Реклама -

Децентрализованный агрегатор бирж Matcha Meta подтвердил инцидент безопасности, связанный с его интеграцией SwapNet, что привело к оценочному ущербу в размере $16.8 млн.

О взломе впервые сообщила фирма по блокчейн-безопасности PeckShield, а дальнейший технический анализ позже предоставила CertiK.

Что пошло не так

Согласно выводам, которыми поделились исследователи безопасности, эксплойт затронул в частности пользователей, которые отключили функцию Matcha Meta «Одноразовое одобрение». Отказавшись от нее, эти пользователи предоставили постоянные разрешения непосредственно контракту маршрутизатора SwapNet, что создало поверхность атаки, которую позже и использовали.

#PeckShieldAlert Matcha Meta сообщила о нарушении безопасности, связанном со SwapNet. Пользователи, отключившие «Одноразовые одобрения», находятся в зоне риска.

На данный момент, примерно на ~$16.8M в криптовалюте был осуществлен вывод.

На #Base злоумышленник обменял ~10.5M $USDC на ~3,655 $ETH и начал бриджить средства на… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) January 26, 2026

CertiK определила корневую причину как уязвимость «произвольного вызова» в контракте SwapNet. Этот недостаток позволял атакующему инициировать несанкционированные переводы из кошельков, которые ранее одобрили маршрутизатор, фактически обходя стандартные защитные меры.

Движение средств и охват

Данные on-chain показывают, что атакующий сначала обменял примерно $10.5 млн в USDC на Base на около 3,655 ETH, после чего перевел активы в Ethereum. Похоже, что кроссчейн-перемещение было задумано для усложнения отслеживания и усилий по восстановлению.

Важно отметить, что инцидент не затронул всех пользователей Matcha. Воздействие было ограничено теми кошельками, которые вручную отключили одноразовые одобрения и выдали прямые разрешения контрактам SwapNet.

                Bitcoin обгоняет золото и серебро в опросе об инвестициях на $100,000

Меры экстренного реагирования

В ответ на эксплойт Matcha Meta предприняла несколько незамедлительных шагов:

• Контракты SwapNet приостановлены, чтобы предотвратить дальнейшие потери.
• Пользователям настоятельно рекомендовали отозвать существующие одобрения, особенно для контракта маршрутизатора SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• Платформа убрала возможность отключать одноразовые одобрения, чтобы снизить подобные риски в будущем.

Инцидент подчеркивает компромиссы по безопасности, связанные с постоянными одобрениями контрактов, и подтверждает важность регулярного пересмотра разрешений, особенно при взаимодействии с агрегаторами и маршрутными контрактами.