Агрегатор DEX зазнав атаки на суму 16,8 мільйонів доларів через експлойт SwapNet після обходу підтвердження

• Реклама -

Децентралізований агрегатор обмінів Matcha Meta підтвердив інцидент безпеки, пов’язаний із його інтеграцією SwapNet, що призвів до втрати приблизно 16,8 мільйонів доларів.

Злом був вперше виявлений компанією з безпеки блокчейнів PeckShield, а подальший технічний аналіз був наданий CertiK.

Що пішло не так

Згідно з висновками, оприлюдненими дослідниками безпеки, експлуатація особливо торкнулася користувачів, які відключили функцію “Одноразове підтвердження” Matcha Meta. Відмовившись від неї, ці користувачі надали постійні дозволи безпосередньо контракту SwapNet, створюючи поверхню для атак, яку згодом використали.

#PeckShieldAlert Matcha Meta повідомила про порушення безпеки, пов’язане з SwapNet. Користувачі, які відмовилися від “Одноразових дозволів”, під ризиком.

Поки що знято близько 16,8 мільйонів доларів у криптовалюті.

На #Base зловмисник обміняв близько 10,5 мільйонів $USDC на ~3,655 $ETH і почав переказувати кошти на… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 січня 2026

CertiK визначив корінь проблеми як вразливість “довільного виклику” у контракті SwapNet. Ця помилка дозволила зловмиснику ініціювати несанкціоновані перекази з гаманців, які раніше надали дозволи маршрутизатору, ефективно обходячи стандартні заходи безпеки.

Переміщення коштів і масштаб

Діяльність у мережі показує, що зловмисник обміняв приблизно 10,5 мільйонів доларів у USDC на Base на близько 3,655 ETH, перед тим як переказати активи до Ethereum. Перехресний рух між ланцюгами, ймовірно, був задуманий для ускладнення відстеження та відновлення.

Важливо, що інцидент не торкнувся всіх користувачів Matcha. Вразливість була обмежена гаманцями, які вручну відключили одноразові дозволи і надали прямі дозволи контрактам SwapNet.

                Біткоїн перевищує золото і срібло у голосуванні щодо інвестицій на 100 000 доларів

Заходи реагування у надзвичайних ситуаціях

У відповідь на експлуатацію Matcha Meta вжила кілька невідкладних заходів:

• Контракти SwapNet були призупинені для запобігання подальших втрат.
• Користувачам було рекомендовано відкликати існуючі дозволи, зокрема для контракту маршрутизатора SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• Платформа видалила опцію відключення одноразових дозволів, щоб зменшити подібні ризики у майбутньому.

Інцидент підкреслює компроміси у безпеці, пов’язані з постійними дозволами контрактів, і підсилює важливість регулярних перевірок дозволів, особливо при взаємодії з агрегаторами та маршрутними контрактами.