Кратко
- Уязвимость SwapNet привела к утечке 16,8 млн долларов после того, как пользователи отключили защиту однократных разрешений.
- Злоумышленник обменял 10,5 млн USDC на ETH на базе перед мостингом в Ethereum.
- Matcha Meta отключает пострадавшие контракты, поскольку службы безопасности отмечают более широкие риски в DeFi.
Уязвимость безопасности, связанная с SwapNet, привела к потерям около 16,8 миллиона долларов, что затронуло пользователей, взаимодействующих через Matcha Meta. Инцидент в основном коснулся пользователей, отключивших однократные разрешения, что подвергло риску постоянные разрешения токенов.
Компания по безопасности блокчейна PeckShieldAlert выявила уязвимость и проследила начальные перемещения средств. Злоумышленник нацелился на маршрутизаторы SwapNet, которые сохраняли неограниченные разрешения от кошельков пострадавших пользователей.
В сети Base злоумышленник обменял примерно 10,5 миллиона долларов USDC на около 3 655 ETH. Вскоре после этого злоумышленник начал мостить конвертированные активы в основную сеть Ethereum, чтобы усложнить отслеживание.
SwapNet функционирует как маршрутизатор ликвидности, используемый Matcha Meta для определения цен и глубокой ликвидности. Уязвимость заключалась в злоупотреблении существующими разрешениями, а не в взломе приватных ключей или основной инфраструктуры.
Matcha Meta, созданная командой 0x, подтвердила проблему и немедленно отключила пострадавшие контракты SwapNet. Платформа также убрала опцию предоставления прямых разрешений сторонним агрегаторам.
Расследование расширяется, поскольку службы безопасности отмечают более широкие риски
Дальнейший анализ показал, что уязвимость возникла из-за произвольного вызова внутри контрактов SwapNet. Этот недостаток позволял злоумышленникам переводить одобренные токены без запроса новых разрешений.
Компания по безопасности BlockSec сообщила, что несколько контрактов по цепочкам понесли убытки, превышающие 17 миллионов долларов. Пострадавшие сети включали Ethereum, Arbitrum, Base и BNB Chain, что расширяет масштаб инцидента.
Отдельно CertiK оценил, что украдено около 13,3 миллиона долларов USDC в результате связанной деятельности.
Некоторые задействованные контракты оставались закрытыми и неподтвержденными при развертывании.
Позже Matcha Meta подтвердил, что основные контракты 0x не пострадали от инцидента.
Пользователи, полагающиеся на однократные разрешения через инфраструктуру 0x, остались без ущерба.
Инцидент вновь поднял вопрос о постоянных разрешениях токенов в децентрализованных финансах.
Неограниченные разрешения обеспечивают удобство, но увеличивают риск при сбоях смарт-контрактов.
Между тем, исследователь ZachXBT раскритиковал задержку Circle в заморозке оставшихся USDC. Около 3 миллионов долларов, по сообщениям, оставались на адресах, пригодных для заморозки в течение времени реагирования.
Этот взлом добавляет к растущему списку сбоев в безопасности DeFi в начале 2026 года. Данные отрасли показывают, что украденные крипто-средства достигли рекордных уровней за последние годы, что увеличивает давление на практики безопасности протоколов.
|
| ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Информация на этом сайте предоставляется в качестве общего обзора рынка и не является инвестиционной рекомендацией. Мы рекомендуем провести собственное исследование перед инвестированием. |
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
UX Chain объявляет о прекращении работы, пользователям необходимо до 30 апреля закрыть позиции
Gate News, 1 апреля, официальный представитель UX Chain объявил о запуске плана закрытия платформы. Согласно объявлению, пользователи должны до 30 апреля очистить все незавершенные позиции до начала полной ликвидации платформы, при этом протокол, как ожидается, будет полностью закрыт 15 мая. UX Chain заявляет, что будет использовать резервные средства и бюджетные деньги для покрытия дефицита средств протокола, а конкретные детали будут опубликованы на форуме UX по управлению (governance).
GateNews1ч назад
Gauntlet: Resolv не предоставила планов по исправлению, несколько рынков рынков ликвидных пулов были удалены
Компания Gauntlet в своем сообщении указала, что Resolv Labs после столкновения с уязвимостью не опубликовала меры по устранению, уже удалила с нескольких рынков казначейских пулов, на которые приходится ликвидность примерно на 11,9 млн долларов США, и планирует создать контракт для подачи требований, чтобы вернуть активы.
GateNews2ч назад
Magic Eden Кошелёк 5/1 Принудительное отключение: пользователям предоставляется ограниченное время для экспорта приватного ключа, иначе активы будут навсегда утеряны
Magic Eden объявила, что ее нативный кошелек полностью прекратит обслуживание 1 мая 2026 года, а пользователям необходимо вывести свой приватный ключ или seed-фразу до крайнего срока, иначе они потеряют доступ к своим активам. В последнее время Magic Eden продолжает сокращать деятельность, переориентируясь на экосистему Solana и iGaming-платформу Dicey, а также корректируя токеномическую модель ME, чтобы связать ее с доходами платформы.
動區BlockTempo2ч назад
Кошелёк Magic Eden прекращает торговый сервис, полностью остановится 1 мая
NFT-рынок Magic Eden объявил, что его нативный криптокошелёк перейдёт в режим только для вывода средств с 1 апреля и полностью прекратит работу с 1 мая. Пользователям необходимо вывести приватный ключ или seed-фразу до 1 мая, иначе они навсегда потеряют доступ к активам. Кошелёк уже снят с публикации, и его нельзя будет скачать снова. Это остановка является частью бизнес-трансформации Magic Eden: фокус будет перенесён на крипторазвлечения. Наградная система токена ME не затронута, но цена близка к историческому минимуму.
MarketWhisper3ч назад
Archblock подала заявление о банкротстве, обвиняя Джастина Сана в связанных сделках и мошенничестве в Восточной Европе
Криптокомпании Archblock, TrustToken и TrueCoin подали заявление о банкротстве, поскольку Techteryx не оплатила счета и стала жертвой мошенничества со стороны преступной группировки, действовавшей в Восточной Европе, в результате чего финансы компаний оказались сильно подорваны. Компания также оказалась вовлечена в ряд судебных разбирательств, столкнулась с налоговыми проблемами и высокорисковыми инвестиционными убытками, раскрывая потенциальные риски в индустрии стейблкоинов.
GateNews20ч назад
Coinbase сталкивается с новыми обвинениями в листинге по схеме «плати и играй» для XRP, поскольку старые трения вновь дают о себе знать
Coinbase сталкивается с новой волной пристального внимания в связи с задержанной листингом XRP, поскольку CTO Ripple утверждает, что биржа придержала токен из-за оспариваемого сбора за листинг. Эти обвинения указывают на то, что на ситуацию повлияли финансовые переговоры, а не регуляторные опасения.
CryptoNewsFlash20ч назад
