Агрегатор DEX постраждав від експлойти $16.8M SwapNet після обходу підтвердження

• Реклама -

Агрегатор децентралізованих бірж Matcha Meta підтвердив інцидент із безпекою, пов’язаний із його інтеграцією SwapNet, що призвело до оцінюваних втрат у розмірі $16,8 млн.

Про порушення вперше повідомила фірма з безпеки блокчейнів PeckShield, а пізніше додатковий технічний аналіз надала CertiK.

Що Пішло Не Так

Згідно з висновками, оприлюдненими дослідниками безпеки, експлойт зосереджено вразив користувачів, які вимкнули функцію Matcha Meta «Одноразове підтвердження». У разі відмови ці користувачі надали постійні дозволи безпосередньо контракту маршрутизатора SwapNet, створивши вектор атаки, який згодом було зловжито.

#PeckShieldAlert Matcha Meta повідомила про порушення безпеки, пов’язане зі SwapNet. Користувачі, які відмовилися від «One-Time Approvals», перебувають під ризиком.

Поки що ~$16,8M вартості криптовалюти було виведено.

На #Base атакувальник обміняв ~10,5M $USDC на ~3,655 $ETH і розпочав переказ коштів для… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 січня 2026 року

CertiK визначила першопричину як вразливість «довільного виклику» в контракті SwapNet. Ця вада дозволила атакувальнику ініціювати несанкціоновані перекази з гаманців, які раніше схвалили маршрутизатор, фактично обходячи стандартні запобіжники.

Рух коштів і масштаби

Дані в ланцюжку показують, що атакувальник обміняв приблизно $10,5 млн у USDC на Base на близько 3,655 ETH, перш ніж перекинути активи на Ethereum. Здається, кросчейн-рух розрахований на ускладнення відстеження та спроб відновлення.

Важливо, що інцидент не вплинув на всіх користувачів Matcha. Під загрозою були лише гаманці, які вручну вимкнули одноразові підтвердження та надали прямі дозволи контрактам SwapNet.

                Bitcoin обігнав золото й срібло в опитуванні щодо інвестицій на $100,000

Заходи екстреного реагування

У відповідь на експлойт Matcha Meta зробила кілька негайних кроків:

• Контракти SwapNet призупинено, щоб запобігти подальшим втратам.
• Користувачів закликали відкликати існуючі підтвердження, зокрема для контракту маршрутизатора SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• Платформа прибрала можливість вимикати одноразові підтвердження, прагнучи зменшити подібні ризики в майбутньому.

Інцидент підкреслює компроміси безпеки, пов’язані з постійними дозволами для контрактів, і підсилює важливість регулярних перевірок дозволів, особливо під час взаємодії з агрегаторами та контрактами маршрутизації.