Агрегатор DEX постраждав від експлойти $16.8M SwapNet після обходу підтвердження

• Реклама -

Децентралізований агрегатор обміну Matcha Meta підтвердив інцидент безпеки, пов’язаний з його інтеграцією SwapNet, що призвело до оцінкових втрат у 16,8 мільйона доларів.

Порушення вперше було виявлено блокчейн-безпековою компанією PeckShield, а подальший технічний аналіз був наданий CertiK.

Що пішло не так

Згідно з висновками, поділеними дослідниками з безпеки, експлойт специфічно вплинув на користувачів, які відключили функцію «Одноразового схвалення» Matcha Meta. Відмовившись від неї, ці користувачі надали постійні дозволи безпосередньо контракту маршрутизатора SwapNet, створивши поверхню атаки, яка пізніше була використана.

#PeckShieldAlert Matcha Meta повідомила про порушення безпеки, що стосується SwapNet. Користувачі, які відмовилися від “Одноразових схвалень”, під загрозою.

На даний момент було виведено криптовалюту на суму ~16,8 млн доларів.

На #Base зловмисник обміняв ~10,5 млн $USDC на ~3,655 $ETH і почав переводити кошти до… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 січня 2026 року

CertiK визначила кореневу причину як уразливість “произвольного виклику” у контракті SwapNet. Ця помилка дозволила зловмиснику ініціювати несанкціоновані перекази з гаманців, які раніше схвалили маршрутизатор, фактично обходячи нормальні заходи безпеки.

Рух коштів та обсяг

Діяльність в мережі показує, що зловмисник обміняв приблизно 10,5 мільйона доларів в USDC на Base на близько 3,655 ETH, перш ніж перевести активи на Ethereum. Переміщення між ланцюгами, схоже, було сплановане, щоб ускладнити відстеження та зусилля з відновлення.

Важливо зазначити, що інцидент не вплинув на всіх користувачів Matcha. Вразливість була обмежена гаманцями, які вручну відключили одноразові схвалення та надали прямі дозволи контрактам SwapNet.

                Біткойн перевершує золото та срібло в опитуванні про інвестиції в 100 000 доларів

Заходи екстреного реагування

У відповідь на експлойт Matcha Meta вжила кілька термінових заходів:

• Контракти SwapNet були призупинені, щоб запобігти подальшим втратам.
• Користувачі були закликані відкликати існуючі схвалення, особливо для контракту маршрутизатора SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• Платформа видалила можливість відключити одноразові схвалення, прагнучи зменшити подібні ризики в майбутньому.

Інцидент підкреслює компроміси безпеки, пов’язані з постійними схваленнями контрактів, і підкреслює важливість регулярного перегляду дозволів, особливо при взаємодії з агрегаторами та контрактами маршрутизації.