Агрегатор DEX постраждав від експлойти $16.8M SwapNet після обходу підтвердження

• Реклама -

Децентралізований агрегатор обмінів Matcha Meta підтвердив інцидент безпеки, пов’язаний з інтеграцією SwapNet, що призвело до приблизних втрат у розмірі 16,8 мільйона доларів.

Порушення вперше було виявлено фірмою з безпеки блокчейну PeckShield, а подальший технічний аналіз був наданий CertiK.

Що пішло не так

Згідно з висновками, поділеними дослідниками безпеки, експлуатація специфічно вплинула на користувачів, які вимкнули функцію “Одноразового схвалення” Matcha Meta. Відмовившись від цієї функції, ці користувачі надали постійні дозволи безпосередньо контракту маршрутизатора SwapNet, створивши поверхню атаки, яка пізніше була зловжита.

#PeckShieldAlert Matcha Meta повідомила про порушення безпеки, пов’язане з SwapNet. Користувачі, які відмовилися від “Одноразових схвалень”, піддаються ризику.

На даний момент було виведено криптовалюти на суму приблизно 16,8 мільйона доларів.

На #Base зловмисник обміняв приблизно 10,5 мільйона $USDC на приблизно 3,655 $ETH і почав переносити кошти до… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 січня 2026 року

CertiK визначила кореневу причину як вразливість “произвольного виклику” в контракті SwapNet. Цей дефект дозволяв зловмиснику ініціювати несанкціоновані трансакції з гаманців, які раніше схвалили маршрутизатор, ефективно обходячи нормальні засоби захисту.

Рух коштів і масштаб

Ончейн активність показує, що зловмисник обміняв приблизно 10,5 мільйона доларів у USDC на Base на близько 3,655 ETH, перш ніж перенести активи до Ethereum. Переміщення між ланцюгами, здається, було спроектовано для ускладнення відстеження та відновлення.

Важливо, що інцидент не вплинув на всіх користувачів Matcha. Вразливість була обмежена гаманцями, які вручну вимкнули одноразові схвалення та надали прямі дозволи контрактам SwapNet.

                Біткойн обігнав золото та срібло у голосуванні на інвестиції в 100,000 доларів

Заходи реагування на надзвичайні ситуації

У відповідь на експлуатацію Matcha Meta вжила кілька термінових заходів:

• Контракти SwapNet були призупинені, щоб запобігти подальшим втратам.
• Користувачів закликали відкликати існуючі схвалення, особливо для контракту маршрутизатора SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• Платформа прибрала можливість вимкнення одноразових схвалень, щоб зменшити подібні ризики в майбутньому.

Інцидент підкреслює торговельні компроміси безпеки, пов’язані з постійними схваленнями контрактів, і зміцнює важливість регулярних перевірок дозволів, особливо під час взаємодії з агрегаторами та контрактами маршрутизації.