En Bref
- L’exploitation de SwapNet entraîne un drain de 16,8 millions de dollars après que les utilisateurs ont désactivé les protections d’autorisation unique.
- L’attaquant a échangé 10,5 millions de USDC contre de l’ETH sur Base avant de le transférer vers Ethereum.
- Matcha Meta désactive les contrats affectés alors que des cabinets de sécurité signalent des risques plus larges dans la DeFi.
Une faille de sécurité liée à SwapNet a entraîné une perte d’environ 16,8 millions de dollars, affectant les utilisateurs interagissant via Matcha Meta. L’incident a principalement concerné les utilisateurs ayant désactivé les autorisations uniques, exposant ainsi des permissions de jetons persistantes.
La société de sécurité blockchain PeckShieldAlert a identifié l’exploitation et tracé les mouvements initiaux des fonds. L’attaquant a ciblé les contrats de routeur SwapNet qui conservaient des autorisations illimitées provenant des portefeuilles des utilisateurs affectés.
Sur le réseau Base, l’attaquant a échangé environ 10,5 millions de dollars en USDC contre environ 3 655 ETH. Peu de temps après, l’attaquant a commencé à transférer les actifs convertis vers le réseau principal Ethereum pour compliquer le suivi.
SwapNet fonctionne comme un routeur de liquidité utilisé par Matcha Meta pour obtenir des prix et une liquidité profonde. L’exploitation a impliqué l’abus des autorisations existantes plutôt que la violation des clés privées ou de l’infrastructure principale.
Matcha Meta, développé par l’équipe 0x, a confirmé le problème et a immédiatement désactivé les contrats SwapNet affectés. La plateforme a également supprimé l’option permettant aux utilisateurs d’accorder des autorisations directes à des agrégateurs tiers.
L’enquête s’élargit alors que des cabinets de sécurité signalent des risques plus importants
Une analyse plus approfondie a suggéré que l’exploitation provenait d’une vulnérabilité d’appel arbitraire dans les contrats SwapNet. Ce défaut permettait aux attaquants de transférer des jetons approuvés sans demander de nouvelles permissions.
La société de sécurité BlockSec a rapporté que plusieurs contrats sur différentes chaînes ont subi des pertes dépassant 17 millions de dollars. Les réseaux affectés comprenaient Ethereum, Arbitrum, Base et BNB Chain, ce qui augmente la portée de l’incident.
Par ailleurs, CertiK a estimé que près de 13,3 millions de dollars en USDC avaient été volés dans le cadre d’activités connexes.
Certains contrats impliqués restaient en source fermée et non vérifiés lors du déploiement.
Matcha Meta a ensuite confirmé que les contrats principaux 0x n’étaient pas affectés par l’incident.
Les utilisateurs s’appuyant sur des autorisations d’un seul coup via l’infrastructure 0x sont restés indemnes.
L’incident a relancé la vigilance concernant les autorisations persistantes de jetons dans la finance décentralisée.
Les permissions illimitées offrent de la commodité mais augmentent l’exposition en cas de défaillance des contrats intelligents.
Par ailleurs, l’enquêteur on-chain ZachXBT a critiqué la réponse tardive de Circle pour geler le reste des USDC. Environ 3 millions de dollars seraient restés à des adresses éligibles au gel pendant la période de réponse.
La faille s’ajoute à une liste croissante de défaillances de sécurité dans la DeFi au début de 2026. Les données du secteur montrent que les fonds cryptographiques volés ont atteint des niveaux record ces dernières années, augmentant la pression sur les pratiques de sécurité des protocoles.
|
| AVERTISSEMENT : Les informations présentes sur ce site sont fournies à titre de commentaire général sur le marché et ne constituent pas un conseil en investissement. Nous vous encourageons à faire vos propres recherches avant d’investir. |
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Hindenburg publie un rapport : attaque à découvert l’Amérique crypto-friendly bank SoFi, l’accusant d’avoir gonflé ses bénéfices de 1 milliard de dollars
Un rapport de l’entité Muddy Waters sur SoFi accuse sa direction de gonfler les bénéfices, d’obtenir des primes, et affirme que son emprunt de 312 millions de dollars a été à tort comptabilisé comme une vente de prêts, ce qui pourrait entraîner une republication des données financières, exposant les actionnaires à un risque de dilution de 15 %. Le rapport indique que le traitement comptable ne correspond pas au rôle joué par JPMorgan.
GateNewsIl y a 10m
SIREN (SIREN) a augmenté de 16,46 % au cours des 24 heures, actuellement à 1,8 dollar.
Le prix actuel du jeton SIREN est de 1,80 USD, avec une augmentation de 16,46 % en 24 heures.
Le projet SirenAI combine l'IA et la blockchain, offrant des solutions d'investissement intelligent et de finance décentralisée.
Cependant, le jeton est fortement concentré entre quelques adresses, suscitant des risques sur le marché, et le contrôleur semble être la célèbre institution d'investissement DWF Labs.
Les investissements doivent être prudents.
GateNewsIl y a 22h
Un CEX a divulgué les données de 1,5 million d'utilisateurs, les hackers ont obtenu des informations sensibles par des méthodes de cracking et de scraping.
Des hackers vendent les informations personnelles de 1,5 million d'utilisateurs d'un CEX sous le nom de PexRat sur le dark web, les données ayant été obtenues en contournant le mécanisme de captcha et en utilisant des attaques par dictionnaire. Les utilisateurs concernés sont confrontés à un risque élevé. L'échange a récemment connu une augmentation de son volume de transactions OTC, et a de nouveau été confronté à une crise de sécurité des données.
GateNewsIl y a 23h
Le Royaume-Uni sanctionne Hu Xiaowei, une personne liée au groupe du prince du Cambodge, ainsi que la plateforme de crypto-monnaies « Xinbi »
Le Royaume-Uni impose de nouvelles sanctions à des réseaux de fraude en Asie du Sud-Est, en visant notamment Chen Zhi et son complice de longue date Hu Xiaowei, ainsi qu’en sanctionnant la plateforme d’échange de crypto-monnaies « Xinbi », qu’il accuse de soutenir des activités frauduleuses.
GateNews03-29 03:30
De nombreuses banques sud-coréennes approfondissent leur collaboration avec des échanges de cryptomonnaies, la KB Kookmin Bank renouvelle son contrat après un incident sur un certain échange.
Les banques sud-coréennes intensifient activement leur collaboration avec les plateformes d'échange de cryptomonnaies pour faire face à la croissance limitée des prêts et rechercher de nouveaux points de profit. Plusieurs banques ont établi des partenariats avec des plateformes d'échange, bien qu'il y ait eu dans le passé des incidents d'airdrop erronés de Bitcoin. Les régulateurs prévoient d'élargir leurs pouvoirs de régulation, ce qui pourrait intensifier la concurrence entre les banques.
GateNews03-28 00:42
Le ministère de la Sécurité publique du Vietnam a arrêté plusieurs dirigeants de la plateforme ONUS, soupçonnés de manipuler les prix des jetons et de détourner des fonds d'investisseurs.
Le ministère de la Sécurité publique du Vietnam a arrêté plusieurs personnes liées à la plateforme de cryptomonnaie ONUS, les accusant d'avoir détourné des fonds d'investisseurs par le biais de fausses publicités, impliquant des milliards de dollars.
Les enquêteurs affirment que les suspects manipulaient l'offre et la demande de jetons, et 140 personnes ont déjà été convoquées.
La plateforme ONUS affirme avoir 7 millions d'utilisateurs, avec une valeur marchande d'environ 25 millions de dollars, mais n'a pas encore répondu à ces accusations.
GateNews03-27 15:00
