SwapNetの脆弱性がMatcha Metaの承認の欠陥により1680万ドルを流出

概要

• SwapNetの脆弱性により、ユーザーが一時的な承認保護を無効にした後、1680万ドルが流出。
• 攻撃者はBase上で約1050万USDCをETHにスワップし、その後Ethereumへブリッジ。
• Matcha Metaは、セキュリティ企業がより広範なDeFiリスクを指摘したため、影響を受けたコントラクトを無効化。

SwapNetに関連したセキュリティ侵害により、約1680万ドルの損失が発生し、Matcha Metaを通じてやり取りしていたユーザーに影響を与えました。この事件は、主に一時的な承認を無効にしたユーザーに影響し、永続的なトークン権限の露出を招きました。

ブロックチェーンセキュリティ企業PeckShieldAlertは、脆弱性を特定し、資金の初期動きを追跡しました。攻撃者は、影響を受けたユーザウォレットから無制限の承認を保持していたSwapNetルーターコントラクトを狙いました。

Baseネットワーク上で、攻撃者は約1050万USDCを約3,655ETHに交換しました。その後すぐに、追跡を困難にするために変換された資産をEthereumメインネットにブリッジしました。

SwapNetは、Matcha Metaが価格設定と深い流動性を調達するために使用する流動性ルーターとして機能しています。この脆弱性は、プライベートキーやコアインフラを破るのではなく、既存の承認を悪用する形で発生しました。

セキュリティ企業がより広範なリスクを指摘し調査拡大

さらなる分析により、脆弱性はSwapNetコントラクト内の任意呼び出しの脆弱性に起因していることが判明しました。この欠陥により、攻撃者は新たな許可を求めることなく承認済みのトークンを転送できました。

セキュリティ企業BlockSecは、複数のチェーンにわたるコントラクトで1,700万ドルを超える損失が発生したと報告しています。影響を受けたネットワークにはEthereum、Arbitrum、Base、BNB Chainが含まれ、事件の範囲が拡大しました。

別途、CertiKは関連活動から約1330万USDCの盗難資金を推定しています。
一部の関与したコントラクトは、デプロイ時にソースコードが非公開または未検証のままでした。

Matcha Metaは後に、0xコアコントラクトはこの事件の影響を受けていないと確認しました。
また、0xインフラを通じた一時的な承認に依存していたユーザーも影響を受けませんでした。

この事件は、分散型金融における永続的なトークン承認の問題に対する監視を強めるきっかけとなりました。
無制限の権限は便利さを提供しますが、スマートコントラクトの失敗時にはリスクも高まります。

一方、オンチェーン調査員のZachXBTは、CircleのUSDC凍結遅延を批判しました。
凍結可能なアドレスに約300万ドルが残っていたと報告されています。

この侵害は、2026年初頭のDeFiセキュリティ失敗の増加リストに加わりました。業界のデータによると、盗まれた暗号資産は近年記録的な水準に達しており、プロトコルのセキュリティ対策にさらなる圧力をかけています。