DEX-агрегатор подвергся атаке на сумму $16,8 млн из-за обхода процесса одобрения SwapNet

• Объявление -

Агрегатор децентрализованных бирж Matcha Meta подтвердил инцидент безопасности, связанный с его интеграцией SwapNet, в результате чего, по оценкам, был нанесен ущерб в размере $16.8 млн.

О взломе впервые сообщил блокчейн-исследователь PeckShield, а дальнейший технический анализ позже предоставила CertiK.

Что пошло не так

Согласно выводам, которыми поделились исследователи безопасности, эксплойт в первую очередь затронул пользователей, которые отключили функцию Matcha Meta «Одноразовое одобрение» (One-Time Approval). Отказавшись от нее, эти пользователи предоставили постоянные разрешения напрямую контракту маршрутизатора SwapNet, создав поверхность атаки, которая позже была использована.

#PeckShieldAlert Matcha Meta сообщила о нарушении безопасности, связанном со SwapNet. Пользователи, отключившие “One-Time Approvals”, находятся под риском.

На данный момент изъято крипто на сумму ~$16.8M.

На #Base атакующий обменял ~10.5M $USDC на ~3,655 $ETH и начал бриджинг средств на… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) January 26, 2026

CertiK определила корневую причину как уязвимость «произвольного вызова» (arbitrary call) в контракте SwapNet. Этот недостаток позволил атакующему инициировать несанкционированные переводы из кошельков, которые ранее одобрили маршрутизатор, фактически обходя стандартные защитные меры.

Движение средств и масштабы

Данные on-chain показывают, что атакующий обменял примерно $10.5 млн в USDC на Base на около 3,655 ETH, прежде чем перекинуть активы на Ethereum. Перекрестное перемещение, судя по всему, было задумано для усложнения отслеживания и попыток восстановления.

Важно, что инцидент не затронул всех пользователей Matcha. Воздействие было ограничено кошельками, которые вручную отключили одноразовые одобрения и выдали прямые разрешения контрактам SwapNet.

                Bitcoin обходит золото и серебро в опросе на $100,000 инвестиций

Меры экстренного реагирования

В ответ на эксплойт Matcha Meta предприняла несколько немедленных шагов:

• Контракты SwapNet приостановлены, чтобы предотвратить дальнейшие потери.
• Пользователям настоятельно рекомендовали отозвать существующие одобрения, особенно для контракта маршрутизатора SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• Платформа убрала возможность отключать одноразовые одобрения, стремясь снизить подобные риски в будущем.

Инцидент подчеркивает компромиссы безопасности, связанные с постоянными одобрениями контрактов, и подтверждает важность регулярных проверок разрешений, особенно при взаимодействии с агрегаторами и контрактами роутинга.