Агрегатор DEX подвергся атаке на сумму 16,8 миллиона долларов из-за обхода подтверждения через Exploit SwapNet

• Реклама -

Децентрализованный агрегатор обменов Matcha Meta подтвердил инцидент безопасности, связанный с интеграцией SwapNet, что привело к предполагаемым потерям в размере 16,8 миллиона долларов.

Уязвимость была впервые отмечена компанией по безопасности блокчейнов PeckShield, а дальнейший технический анализ был предоставлен CertiK.

Что пошло не так

Согласно выводам, опубликованным исследователями безопасности, уязвимость затронула пользователей, которые отключили функцию «Одноразовое одобрение» Matcha Meta. Отказавшись от нее, эти пользователи предоставили постоянные разрешения напрямую контракту маршрутизатора SwapNet, создав поверхность атаки, которая впоследствии была использована злоумышленниками.

#PeckShieldAlert Matcha Meta сообщил о нарушении безопасности, связанном с SwapNet. Пользователи, отказавшиеся от “Одноразовых разрешений”, находятся под угрозой.

Пока что было украдено криптовалюты на сумму около 16,8 миллиона долларов.

На #Base злоумышленник обменял около 10,5 миллиона $USDC на примерно 3 655 $ETH и начал переводить средства на… pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 января 2026

CertiK выявил основную причину как уязвимость «произвольного вызова» в контракте SwapNet. Этот недостаток позволил злоумышленнику инициировать несанкционированные переводы с кошельков, ранее одобривших работу маршрутизатора, эффективно обходя обычные меры защиты.

Передвижение средств и масштаб

Деятельность в блокчейне показывает, что злоумышленник обменял примерно 10,5 миллиона долларов в USDC на базе на около 3 655 ETH, прежде чем перевести активы в Ethereum. Перемещение между цепочками, судя по всему, предназначено для усложнения отслеживания и восстановления средств.

Важно отметить, что инцидент не затронул всех пользователей Matcha. Уязвимость была ограничена кошельками, которые вручную отключили одноразовые разрешения и предоставили прямые разрешения контрактам SwapNet.

                Bitcoin превзошел золото и серебро в опросе о инвестициях на 100 000 долларов

Меры по чрезвычайным ситуациям

В ответ на уязвимость Matcha Meta предприняла несколько немедленных шагов:

• Контракты SwapNet были приостановлены для предотвращения дальнейших потерь.
• Пользователей призвали отозвать существующие разрешения, особенно для контракта маршрутизатора SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• Платформа убрала возможность отключения одноразовых разрешений, чтобы снизить подобные риски в будущем.

Инцидент подчеркивает риски безопасности, связанные с постоянными разрешениями контрактов, и подчеркивает важность регулярных проверок разрешений, особенно при взаимодействии с агрегаторами и маршрутными контрактами.