Агрегатор DEX подвергся атаке на сумму 16,8 миллиона долларов из-за обхода подтверждения через Exploit SwapNet

• Реклама -

Децентрализованный агрегатор обменов Matcha Meta подтвердил инцидент безопасности, связанный с интеграцией SwapNet, в результате которого был нанесен ущерб примерно на 16,8 миллиона долларов.

Уязвимость была впервые обнаружена компанией по обеспечению безопасности блокчейнов PeckShield, а дальнейший технический анализ был предоставлен CertiK.

Что пошло не так

Согласно выводам, опубликованным исследователями безопасности, эксплойт особенно затронул пользователей, отключивших функцию «Одноразовое одобрение» Matcha Meta. Отказавшись от нее, эти пользователи предоставили постоянные разрешения напрямую контракту маршрутизатора SwapNet, создав поверхность атаки, которая впоследствии была использована.

#PeckShieldAlert Matcha Meta сообщил о нарушении безопасности, связанном с SwapNet. Пользователи, отключившие «Одноразовые разрешения», находятся под угрозой.

Пока что было украдено криптовалюты на сумму около 16,8 миллиона долларов.

На #Base злоумышленник обменял около 10,5 миллиона $USDC на примерно 3 655 $ETH и начал переводить средства на… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 января 2026

CertiK выявил основную причину как уязвимость «произвольного вызова» в контракте SwapNet. Этот недостаток позволил злоумышленнику инициировать несанкционированные переводы с кошельков, ранее одобривших работу маршрутизатора, эффективно обходя обычные меры защиты.

Перемещение средств и масштаб

Деятельность в блокчейне показывает, что злоумышленник обменял примерно 10,5 миллиона долларов в USDC на базе на около 3 655 ETH, прежде чем перевести активы в Ethereum. Перемещение между цепочками, судя по всему, предназначено для усложнения отслеживания и восстановления средств.

Важно отметить, что инцидент не затронул всех пользователей Matcha. Уязвимость была ограничена кошельками, которые вручную отключили одноразовые разрешения и предоставили прямые разрешения контрактам SwapNet.

                Биткойн превзошел золото и серебро по результатам опроса о инвестициях на сумму 100 000 долларов

Меры по экстренному реагированию

В ответ на эксплойт Matcha Meta предприняла несколько немедленных шагов:

• Контракты SwapNet были приостановлены для предотвращения дальнейших потерь.
• Пользователей призвали отменить существующие разрешения, особенно для контракта маршрутизатора SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• Платформа убрала возможность отключения одноразовых разрешений, чтобы снизить риск подобных инцидентов в будущем.

Инцидент подчеркивает риски безопасности, связанные с постоянными разрешениями контрактов, и подчеркивает важность регулярных проверок разрешений, особенно при взаимодействии с агрегаторами и маршрутными контрактами.