Агрегатор DEX постраждав від експлойти $16.8M SwapNet після обходу підтвердження

• Оголошення -

Агрегатор децентралізованих бірж Matcha Meta підтвердив інцидент із безпекою, пов’язаний із його інтеграцією SwapNet, що призвело до оцінюваних втрат у розмірі $16.8 мільйона.

Про порушення було вперше повідомлено блокчейн-компанією з безпеки PeckShield, а подальший технічний аналіз пізніше надав CertiK.

Що Пішло Не Так

Згідно з висновками, оприлюдненими дослідниками безпеки, експлойт конкретно вплинув на користувачів, які відключили функцію Matcha Meta “Одноразове підтвердження” (“One-Time Approval”). Відмовившись, ці користувачі надали постійні дозволи безпосередньо контракту маршрутизатора SwapNet, створивши поверхню атаки, яку згодом було використано.

#PeckShieldAlert Matcha Meta повідомила про порушення безпеки, пов’язане з SwapNet. Користувачі, які відмовилися від “One-Time Approvals”, наражені на ризик.

Поки що з криптовалюти було виведено приблизно ~$16.8M.

На #Base атакувальник обміняв ~10.5M $USDC на ~3,655 $ETH і почав переказувати кошти на… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 січня 2026 р.

CertiK визначив першопричину як вразливість “довільного виклику” (arbitrary call) у контракті SwapNet. Ця вада дозволила атакувальнику ініціювати несанкціоновані перекази з гаманців, які раніше схвалили маршрутизатор, фактично обходячи звичайні запобіжники.

Рух коштів і Масштаб

Дані ончейн-активності показують, що атакувальник обміняв приблизно $10.5 мільйона в USDC на Base на близько 3,655 ETH, перш ніж переказати активи на Ethereum через бридж. Пояснюється, що міжланцюговий рух, схоже, був задуманий для ускладнення відстеження та зусиль із відновлення.

Важливо, що інцидент не вплинув на всіх користувачів Matcha. У зону ризику потрапили лише гаманці, які вручну вимкнули одноразові підтвердження та надали прямі дозволи контрактам SwapNet.

                Bitcoin випереджає Gold і Silver у опитуванні щодо інвестицій на $100,000

Заходи Екстреного Реагування

У відповідь на експлойт Matcha Meta вжила кілька негайних кроків:

• Контракти SwapNet були призупинені, щоб запобігти подальшим втратам.
• Користувачам порадили відкликати наявні підтвердження, зокрема для контракту маршрутизатора SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• Платформа прибрала опцію вимикання одноразових підтверджень, щоб зменшити подібні ризики в майбутньому.

Інцидент підкреслює компроміси безпеки, пов’язані з постійними підтвердженнями контрактів, і підкріплює важливість регулярних перевірок дозволів, особливо під час взаємодії з агрегаторами та контрактами маршрутизації.