Агрегатор DEX постраждав від експлойти $16.8M SwapNet після обходу підтвердження

• Оголошення -

Агрегатор децентралізованої біржі Matcha Meta підтвердив інцидент із безпекою, пов’язаний із його інтеграцією SwapNet, що призвело до оціночних втрат у розмірі $16,8 млн.

Порушення було вперше виявлено фірмою з безпеки блокчейнів PeckShield, а пізніше додатковий технічний аналіз надала CertiK.

Що Пішло Не Так

Згідно з висновками, оприлюдненими дослідниками безпеки, експлойт цілеспрямовано вразив користувачів, які вимкнули функцію Matcha Meta «Одноразове підтвердження». Відмовившись від неї, ці користувачі надали постійні дозволи безпосередньо смартконтракту роутера SwapNet, створивши поверхню атаки, якою згодом скористалися.

#PeckShieldAlert Matcha Meta повідомила про порушення безпеки, пов’язане з SwapNet. Користувачі, які відмовилися від «Одноразових підтверджень», перебувають у зоні ризику.

Поки що з криптовалютних активів було виведено кошти на суму ~$16,8 млн.

На #Base нападник обміняв ~10,5M $USDC на ~3,655 $ETH і почав переказувати кошти на… pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 січня 2026 р.

CertiK визначила першопричину як вразливість «довільного виклику» в контракті SwapNet. Цей недолік дозволив атакувальнику ініціювати несанкціоновані перекази з гаманців, які раніше погодили роутер, фактично обходячи стандартні запобіжники.

Рух коштів і Масштаб

Дії в ланцюжку показують, що атакувальник на Base обміняв приблизно $10,5 млн у USDC на близько 3,655 ETH, перш ніж переказати ці активи на Ethereum через міст. Переміщення між ланцюжками, схоже, було задумане для ускладнення відстеження та спроб відновлення.

Важливо, що інцидент не торкнувся всіх користувачів Matcha. Обмеження стосувалося лише гаманців, які вручну вимкнули одноразові підтвердження та надали прямі дозволи контрактам SwapNet.

                Bitcoin випереджає золото й срібло в опитуванні про інвестиції на $100,000

Заходи екстреного реагування

У відповідь на експлойт Matcha Meta вжила кілька негайних кроків:

• Контракти SwapNet призупинено, щоб запобігти подальшим втратам.
• Користувачам закликали відкликати наявні дозволи, зокрема для контракту роутера SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• Платформа прибрала опцію вимкнути одноразові підтвердження, щоб зменшити подібні ризики в майбутньому.

Інцидент підкреслює компроміси в безпеці, пов’язані з постійними дозволами контрактів, і підсилює важливість регулярних перевірок прав доступу, особливо під час взаємодії з агрегаторами та контрактами маршрутизації.