SwapNet victime d'une attaque avec une perte de 17 millions de dollars, le mécanisme d'autorisation du DEX agrégateur devient à nouveau un risque de sécurité

26 janvier, selon les informations, le agrégateur d’échanges décentralisés sur chaîne SwapNet a subi une attaque majeure par contrat intelligent, avec environ 16,8 millions de dollars d’actifs cryptographiques volés, relançant le débat sur la sécurité dans la DeFi. L’organisme de sécurité blockchain PeckShield a révélé que l’attaque était liée au contrat de routage SwapNet appelé via Matcha Meta (développé par l’équipe 0x), un méta-agrégateur.

L’attaque s’est produite sur le réseau Base, où le hacker a d’abord échangé environ 10,5 millions de dollars USDC contre environ 3655 ETH, puis a bridgeé les fonds vers le réseau principal Ethereum. Cette méthode de « transfert inter-chaînes » est souvent utilisée pour allonger le chemin de traçage, compliquant la freezing et la récupération des fonds.

Matcha Meta a ensuite précisé que son système central n’avait pas été compromis, et que les utilisateurs affectés étaient principalement ceux ayant désactivé le mécanisme d’autorisation unique de 0x. Cette fonctionnalité de sécurité était conçue pour limiter l’accès continu du contrat aux actifs des utilisateurs, mais certains ont choisi de la désactiver pour améliorer la commodité des transactions, autorisant ainsi directement le contrat d’agrégation sous-jacent, y compris le routeur de SwapNet. C’est cette porte d’entrée qui a été exploitée par les attaquants.

Matcha Meta indique avoir collaboré avec l’équipe de SwapNet, les contrats concernés ayant été temporairement désactivés, et appelle les utilisateurs à révoquer immédiatement toutes les autorisations d’agrégateurs autres que celles avec autorisation unique, en particulier le contrat de routeur de SwapNet, afin d’éviter tout risque supplémentaire.

Cet incident met à nouveau en lumière la contradiction de longue date dans la DeFi entre « commodité et sécurité ». L’autorisation unique, bien qu’ajoutant des étapes, réduit considérablement la probabilité de vol continu ; tandis que l’autorisation illimitée, bien qu’améliorant l’efficacité des transactions, amplifie les pertes en cas de brèche du contrat.

Par ailleurs, le même jour, une vulnérabilité liée à un contrat fermé et non vérifié s’est produite sur le réseau principal Ethereum, affectant environ 37 WBTC, ce qui a accru les inquiétudes du marché concernant la transparence des contrats et les mécanismes d’audit. SwapNet n’a pas encore annoncé s’il indemniserait les utilisateurs, mais il est prévisible que la sécurité des agrégateurs DEX et des modèles d’autorisation sera fortement renforcée d’ici 2026.