Introdução
No domingo, a Matcha Meta revelou que uma violação de segurança ocorrida através de um dos seus principais caminhos de fornecimento de liquidez—o contrato do router SwapNet—comprometeu utilizadores que concederam aprovações ao contrato do router do SwapNet. O incidente destaca como componentes com permissões dentro de ecossistemas de exchanges descentralizadas podem tornar-se vetores de ataque mesmo quando a infraestrutura principal permanece intacta. Avaliações públicas iniciais situam as perdas numa faixa de aproximadamente $13 milhões a $17 milhões, com a atividade na cadeia centrada na rede Base e movimentos cross-chain em direção ao Ethereum. A divulgação levou a pedidos para que os utilizadores revogassem aprovações e aumentou o escrutínio sobre como os contratos inteligentes expostos a routers externos são protegidos.
Principais pontos
A violação originou-se através do contrato do router do SwapNet, levando a um apelo urgente para que os utilizadores revogassem aprovações e evitassem perdas adicionais.
As estimativas dos fundos roubados variam: a CertiK reportou cerca de $13,3 milhões, enquanto a PeckShield contabiliza pelo menos $16,8 milhões na rede Base.
Na rede Base, o atacante trocou aproximadamente 10,5 milhões de USDC por cerca de 3.655 ETH e começou a transferir fundos para o Ethereum.
A CertiK atribuiu a vulnerabilidade a uma chamada arbitrária no contrato 0xswapnet, que permitiu ao atacante transferir fundos já aprovados para ele.
A Matcha Meta indicou que a exposição estava relacionada ao SwapNet e não à sua própria infraestrutura, e as autoridades ainda não forneceram detalhes sobre compensações ou salvaguardas.
Fraquezas em contratos inteligentes continuam a ser o principal motor de exploits em cripto, representando 30,5% dos incidentes em 2025, de acordo com o relatório anual de segurança da SlowMist.
Títulos Mencionados
Títulos mencionados: Crypto → USDC, ETH, TRU
Sentimento
Sentimento: Neutro
Impacto no Preço
Impacto no preço: Negativo. O incidente destaca os riscos de segurança contínuos no DeFi e pode influenciar o sentimento de risco em relação à provisão responsável de liquidez e gestão de aprovações.
Ideia de negociação (Não é aconselhamento financeiro)
Ideia de negociação (Não é aconselhamento financeiro): Manter. O incidente é específico ao caminho de aprovação do router e não implica diretamente um risco sistêmico mais amplo para todos os protocolos DeFi, mas exige cautela na gestão de aprovações e liquidez cross-chain.
Contexto de mercado
Contexto de mercado: O evento ocorre num momento de atenção crescente à segurança no DeFi e à atividade cross-chain, onde provedores de liquidez e agregadores dependem cada vez mais de componentes modulares. Situa-se também num cenário de discussões em evolução sobre governança na cadeia, auditorias e a necessidade de salvaguardas robustas, enquanto protocolos de primeira linha e novos participantes competem pela confiança dos utilizadores.
Por que é importante
Por que é importante
Incidentes de segurança em agregadores DeFi ilustram as superfícies de risco persistentes quando múltiplas camadas de protocolo interagem. Neste caso, a violação foi atribuída a uma vulnerabilidade no contrato do router do SwapNet, e não à arquitetura principal da Matcha Meta, reforçando como a confiança é distribuída por componentes parceiros num ecossistema composável. Para os utilizadores, o episódio serve como lembrete para revisar e revogar aprovações de tokens regularmente, especialmente após suspeitas de atividade anormal na cadeia.
O impacto financeiro, embora ainda em evolução, reforça a importância de uma avaliação rigorosa de provedores de liquidez externos e da monitorização em tempo real dos fluxos de aprovação. O fato de os atacantes terem conseguido converter uma parte substancial dos fundos roubados em stablecoins e depois transferi-los para o Ethereum destaca a dinâmica cross-chain que complica a rastreabilidade e esforços de restituição após o incidente. Exchanges e investigadores de segurança enfatizam o valor de escopos de permissão granulares, limitados no tempo, e de capacidades de revogação precoce para limitar o raio de ação de tais exploits.
Do ponto de vista de mercado, o episódio acrescenta a uma narrativa mais ampla sobre a fragilidade das finanças permissionless e a corrida contínua para implementar salvaguardas robustas e auditáveis em todas as camadas dos ecossistemas DeFi. Embora não seja uma acusação sistêmica à Matcha Meta, o incidente intensifica os apelos por auditorias de segurança padronizadas em contratos de router e por maior responsabilização de módulos de terceiros que interagem com fundos de utilizadores.
O que observar a seguir
O que observar a seguir
Atualizações oficiais da Matcha Meta sobre a causa raiz e quaisquer planos de remediação ou compensação para utilizadores afetados.
Auditorias externas ou revisões de terceiros do contrato do router do SwapNet e mudanças de governança para evitar reincidências.
Monitorização na cadeia da atividade de ponte de Base para Ethereum relacionada a este incidente e movimentos subsequentes de fundos.
Desenvolvimentos regulatórios e de padrões da indústria em torno da segurança no DeFi, particularmente quadros de auditoria de contratos inteligentes e controles de aprovação de utilizadores.
Fontes e verificação
Publicação da Matcha Meta no X alertando os utilizadores para revogarem aprovações do SwapNet após o incidente.
Aviso da CertiK identificando a exploração como decorrente de uma chamada arbitrária no contrato 0xswapnet que permitiu a transferência de fundos aprovados.
Atualização da PeckShield indicando aproximadamente $16,8 milhões drenados na rede Base, incluindo a troca de USDC por ETH e transferência para Ethereum.
Relatório anual de segurança blockchain e AML da SlowMist de 2025 detalhando a proporção de incidentes por categoria, incluindo 30,5% atribuídos a vulnerabilidades em contratos inteligentes e 24% a compromissos de contas.
Cobertura do Cointelegraph sobre o incidente Truebit, incluindo uma perda de $26 milhões e a queda do token TRU, para contexto mais amplo sobre exposição ao risco de contratos inteligentes.
Corpo do artigo reescrito
Violação de segurança na Matcha Meta destaca riscos de contratos inteligentes em ecossistemas DEX
No mais recente exemplo de como o DeFi pode ser comprometido de dentro, a Matcha Meta revelou que uma violação de segurança ocorreu através de uma das suas principais vias de fornecimento de liquidez—o contrato do router SwapNet. A consequência visível para o utilizador é a revogação de aprovações de tokens, que o protocolo explicitamente recomendou na sua publicação pública. A Matcha Meta indicou que a origem do incidente não foi na sua infraestrutura principal, mas sim numa vulnerabilidade na camada do router de um parceiro que concedeu permissões para movimentar fundos em nome dos utilizadores.
Estimativas iniciais de investigadores de segurança colocam o impacto financeiro numa faixa estreita. A CertiK quantificou as perdas em cerca de $13,3 milhões, enquanto a PeckShield reportou um valor mínimo mais alto de $16,8 milhões na rede Base. A discrepância reflete diferentes métodos de contabilidade na cadeia e o momento das revisões pós-incidente, mas ambas as análises confirmam uma perda significativa ligada à funcionalidade do router do SwapNet. Na rede Base, o atacante trocou aproximadamente 10,5 milhões de USDC por cerca de 3.655 ETH e começou a transferir os lucros para o Ethereum, segundo o boletim da PeckShield publicado no X.
Até agora, cerca de ~$16,8M em cripto foi drenado. Na rede Base, o atacante trocou ~10,5M USDC por ~3.655 ETH e começou a transferir fundos para Ethereum.
A avaliação da CertiK fornece uma explicação técnica para a exploração: uma chamada arbitrária no contrato 0xswapnet permitiu ao atacante retirar fundos que os utilizadores já tinham aprovado, efetivamente contornando um roubo direto do pool de liquidez do SwapNet e aproveitando as permissões concedidas ao router. Essa distinção é importante porque aponta para uma falha de governança ou de design na camada de integração, e não uma violação da custódia ou dos controles de segurança próprios da Matcha Meta.
A Matcha Meta reconheceu que a exposição está relacionada ao SwapNet e não atribuiu a vulnerabilidade à sua própria infraestrutura. Tentativas de obter comentários sobre mecanismos de compensação ou salvaguardas não foram imediatamente respondidas, deixando os utilizadores afetados sem uma via clara de remediação a curto prazo. O incidente ilustra um perfil de risco mais amplo para os agregadores DeFi: quando parcerias introduzem novas interfaces de contrato, atacantes podem explorar fluxos de permissão que se situam na interseção entre aprovações de utilizador e transferências automáticas de fundos.
O panorama de segurança no cripto permanece persistentemente precário. Em 2025, vulnerabilidades em contratos inteligentes foram a principal causa de exploits em cripto, representando 30,5% dos incidentes e 56 eventos totais, de acordo com o relatório anual de segurança da SlowMist. Essa fatia destaca como até projetos sofisticados podem ser derrubados por bugs de casos extremos ou configurações incorretas no código que regula transferências automáticas de valor. Compromissos de contas e contas sociais comprometidas (como perfis de utilizador no X) também representaram uma parcela significativa dos incidentes, reforçando a natureza multi-vetor das ferramentas dos atacantes.
Para além dos ângulos técnicos, o incidente alimenta um discurso crescente sobre o uso de inteligência artificial na segurança de contratos inteligentes. Relatórios de DEZEMBRO indicaram que agentes de IA disponíveis comercialmente descobriram aproximadamente $4,6 milhões em exploits na cadeia em tempo real, usando ferramentas como Claude Opus 4.5, Claude Sonnet 4.5 e GPT-5 da OpenAI. O surgimento de técnicas de probing e exploração habilitadas por IA adiciona uma camada de complexidade à avaliação de riscos para auditores e operadores. Este cenário em evolução reforça a necessidade de monitorização contínua, revogação rápida de permissões e medidas defensivas adaptáveis nos ecossistemas DeFi.
D duas semanas antes do incidente do SwapNet, outra vulnerabilidade de contrato inteligente de alto perfil resultou em perdas de $26 milhões para o protocolo Truebit, seguida de uma forte reação de preço no token TRU. Tais episódios reforçam o fato de que a camada de contratos inteligentes continua a ser uma superfície de ataque principal para hackers, mesmo quando outros domínios do cripto—custódia, infraestrutura centralizada e componentes off-chain—também enfrentam ameaças persistentes. O tema recorrente é que a gestão de risco deve ir além de auditorias e programas de recompensas por bugs, incluindo governança ao vivo, monitorização em tempo real e práticas prudentes de utilizador em aprovações e movimentos cross-chain.
À medida que o mercado assimila as implicações, os observadores enfatizam que o caminho para a resiliência no DeFi depende de salvaguardas em camadas e de respostas transparentes a incidentes. Embora a vulnerabilidade do SwapNet pareça isolada a uma integração específica, o incidente reforça uma lição central: mesmo parceiros confiáveis podem introduzir risco sistêmico se os seus contratos interagirem com fundos de utilizador de formas que contornem salvaguardas padrão. O registo na cadeia continuará a evoluir enquanto investigadores, a Matcha Meta e os seus parceiros de liquidez realizarem análises forenses e determinarem se as vítimas receberão compensações ou melhorias nos controles de risco para evitar incidentes semelhantes no futuro.
Este artigo foi originalmente publicado como Matcha Meta Hit by $16.8M SwapNet Smart Contract Hack na Crypto Breaking News—a sua fonte de confiança para notícias de cripto, notícias de Bitcoin e atualizações de blockchain.
