Агрегатор DEX постраждав від експлойти $16.8M SwapNet після обходу підтвердження

• Реклама -

Децентралізований агрегатор обміну Matcha Meta підтвердив інцидент безпеки, пов’язаний з інтеграцією SwapNet, що призвів до приблизних збитків у розмірі 16,8 мільйона доларів.

Перше повідомлення про порушення надійшло від фірми з безпеки блокчейну PeckShield, а подальший технічний аналіз був наданий CertiK.

Що пішло не так

Згідно з висновками, наданими дослідниками безпеки, експлуатація безпосередньо вплинула на користувачів, які вимкнули функцію “Одноразового затвердження” Matcha Meta. Відмовившись від цієї функції, ці користувачі надали постійні дозволи безпосередньо контракту маршрутизатора SwapNet, створивши поверхню атаки, яка пізніше була зловживана.

#PeckShieldAlert Matcha Meta повідомила про витік безпеки, пов’язаний з SwapNet. Користувачі, які відмовилися від “Одноразових затверджень”, піддаються ризику.

На сьогоднішній день було вкрадено криптовалюту на суму близько 16,8 млн доларів.

На #Base зловмисник обміняв приблизно 10,5 млн $USDC на близько 3,655 $ETH і почав перекидати кошти на… pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 січня 2026 року

CertiK виявила корінь проблеми в уразливості “произвольного виклику” в контракті SwapNet. Ця вада дозволила зловмиснику ініціювати несанкціоновані перекази з гаманців, які раніше затвердили маршрутизатор, ефективно обходячи звичайні запобіжники.

Переміщення коштів і обсяг

Ончейн активність показує, що зловмисник обміняв приблизно 10,5 мільйона доларів USDC на Base на близько 3,655 ETH, перш ніж перекинути активи в Ethereum. Переміщення між блокчейнами, схоже, було сплановане для ускладнення відстеження та зусиль з відновлення.

Важливо, що інцидент не вплинув на всіх користувачів Matcha. Експозиція була обмежена гаманцями, які вручну вимкнули одноразові затвердження та надали прямі дозволи контрактам SwapNet.

                Біткоїн перевершує золото і срібло в опитуванні з інвестицій на 100,000 доларів

Заходи екстреного реагування

У відповідь на експлуатацію Matcha Meta вжила кілька термінових заходів:

• Контракти SwapNet були призупинені, щоб запобігти подальшим втратам.
• Користувачів закликали відкликати існуючі затвердження, особливо для контракту маршрутизатора SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• Платформа видалила можливість вимкнення одноразових затверджень, прагнучи зменшити подібні ризики в майбутньому.

Інцидент підкреслює компроміси в безпеці, пов’язані з постійними затвердженнями контрактів, і зміцнює важливість регулярних перевірок дозволів, особливо при взаємодії з агрегаторами та контрактами маршрутизації.