Matcha Meta постраждав від зламу смарт-контракту SwapNet на суму $16.8M

Вступ У неділю Matcha Meta повідомила про злом безпеки, пов’язаний з одним із її основних постачальників ліквідності — контрактом маршрутизатора SwapNet. Інцидент підкреслює, як дозволені компоненти в децентралізованих екосистемах обміну можуть стати векторами атак навіть тоді, коли основна інфраструктура залишається цілісною. Попередні публічні оцінки збитків коливаються в межах приблизно від 13 до 17 мільйонів доларів, причому активність у мережі зосереджена навколо мережі Base та міжланцюгових переміщень у напрямку Ethereum. Це розкриття спонукало користувачів відкликати дозволи та посилило увагу до того, як захищені смарт-контракти, відкриті зовнішнім маршрутизаторам.

Ключові висновки

Злом виник через контракт маршрутизатора SwapNet, що викликало термінову необхідність відкликати дозволи користувачів для запобігання подальших збитків.

Оцінки викрадених коштів варіюються: CertiK повідомила про близько 13,3 мільйона доларів, тоді як PeckShield оцінює щонайменше 16,8 мільйона доларів у мережі Base.

У мережі Base зловмисник обміняв приблизно 10,5 мільйонів USDC на близько 3,655 ETH і почав переміщувати кошти до Ethereum.

CertiK пояснила вразливість довільним викликом у контракті 0xswapnet, що дозволило зловмиснику переводити вже затверджені кошти.

Matcha Meta зазначила, що вразливість була пов’язана з SwapNet, а не з власною інфраструктурою, і поки що не надала деталей щодо компенсацій або заходів безпеки.

Недоліки у смарт-контрактах залишаються основним чинником криптоексплойтів, становлячи 30,5% випадків у 2025 році, згідно з щорічним звітом SlowMist про безпеку.

Згадані тикери

Згадані тикери: Crypto → USDC, ETH, TRU

Настрій

Настрій: нейтральний

Вплив на ціну

Вплив на ціну: негативний. Злом підкреслює постійні ризики безпеки в DeFi і може вплинути на ринковий настрій щодо відповідального постачання ліквідності та управління дозволами.

Ідея для торгівлі (Не є фінансовою порадою)

Ідея для торгівлі (Не є фінансовою порадою): тримати. Інцидент стосується конкретного шляху дозволу маршрутизатора і не прямо вказує на ширший системний ризик для всіх протоколів DeFi, але вимагає обережності щодо управління дозволами та міжланцюгової ліквідності.

Контекст ринку

Контекст ринку: подія сталася на тлі зростаючої уваги до безпеки DeFi та міжланцюгової активності, де постачальники ліквідності та агрегатори дедалі більше покладаються на модульні компоненти. Це також відбувається на тлі еволюції дискусій щодо ончейн-управління, аудитів і необхідності міцних заходів безпеки, оскільки протоколи високого рівня та нові учасники змагаються за довіру користувачів.

Чому це важливо

Чому це важливо

Інциденти безпеки у агрегаторах DeFi ілюструють постійні ризики, що виникають при взаємодії кількох рівнів протоколів. У цьому випадку злом був спричинений вразливістю у контракті маршрутизатора SwapNet, а не у основній архітектурі Matcha Meta, що підкреслює, як довіра розподілена між компонентами партнерів у модульній екосистемі. Для користувачів цей випадок слугує нагадуванням регулярно переглядати та відкликати дозволи токенів, особливо після підозр у аномальній активності в ончейн-мережі.

Фінансовий вплив, хоча й ще формується, підкреслює важливість ретельної перевірки зовнішніх постачальників ліквідності та моніторингу потоків дозволів у реальному часі. Той факт, що зловмисники змогли конвертувати значну частину викрадених коштів у стабільні монети та перемістити активи до Ethereum, підкреслює міжланцюгову динаміку, яка ускладнює відслідковування та відшкодування після інциденту. Біржі та дослідники безпеки наголошують на цінності детальних, обмежених за часом дозволів і раннього відкликання для зменшення масштабу таких експлойтів.

З огляду на ринок, цей інцидент додає до ширшої дискусії про крихкість permissionless фінансів і гонку за впровадженням міцних, піддаваних аудиту заходів безпеки у шарах екосистем DeFi. Хоча цей випадок не є системною проблемою Matcha Meta, він посилює заклики до стандартних аудитів безпеки контрактів маршрутизаторів і більшої відповідальності третіх модулів, що взаємодіють із коштами користувачів.

Що слід спостерігати далі

Що слід спостерігати далі

Офіційні оновлення Matcha Meta щодо причин інциденту та будь-яких планів щодо відшкодування або виправлень для постраждалих користувачів.

Зовнішні аудити або огляди сторонніх організацій контракту маршрутизатора SwapNet і зміни у управлінні для запобігання повторенню.

Ончейн-моніторинг активності мосту Base-до-Ethereum і подальших переміщень коштів.

Розвиток нормативної бази та галузевих стандартів у сфері безпеки DeFi, зокрема рамки аудиту смарт-контрактів і контролю дозволів користувачів.

Джерела та перевірки

Пост Matcha Meta у X із попередженням користувачам відкликати дозволи SwapNet після злома.

Консультація CertiK, яка визначила експлойт як результат довільного виклику у контракті 0xswapnet, що дозволив переводити затверджені кошти.

Оновлення PeckShield, яке повідомляє про викрадення близько 16,8 мільйона доларів у мережі Base, включаючи обмін USDC на ETH і переміщення до Ethereum.

Щорічний звіт SlowMist 2025 про безпеку блокчейнів і AML, що деталізує частки інцидентів за категоріями, зокрема 30,5% через вразливості смарт-контрактів і 24% через компрометацію акаунтів.

Огляд Cointelegraph щодо інциденту Truebit, включаючи збитки у 26 мільйонів доларів і падіння токена TRU, для ширшого розуміння ризиків, пов’язаних із смарт-контрактами.

Переписаний основний текст статті

Злом безпеки в Matcha Meta підкреслює ризики смарт-контрактів у екосистемах DEX

У найновішому прикладі того, як DeFi може бути зламаний зсередини, Matcha Meta повідомила, що через один із своїх основних шляхів постачання ліквідності — контракт маршрутизатора SwapNet — стався злом безпеки. Наслідком для користувачів є відкликання дозволів токенів, що протокол явно рекомендував у своєму публічному повідомленні. Вразливість не походила від основної інфраструктури Matcha Meta, зазначили у компанії, а скоріше — від уразливості в шарі маршрутизатора партнера, що надавав дозволи на переміщення коштів від імені користувачів.

Попередні оцінки від дослідників безпеки показують, що фінансовий збиток обмежений. CertiK оцінила втрати приблизно у 13,3 мільйона доларів, тоді як PeckShield повідомила про щонайменше 16,8 мільйона доларів у мережі Base. Різниця зумовлена різними методами обліку в ончейн-режимі та часом проведення аналізу після інциденту, але обидві оцінки підтверджують значний збиток, пов’язаний із функціональністю маршрутизатора SwapNet. У мережі Base зловмисник обміняв приблизно 10,5 мільйонів USDC (CRYPTO: USDC) на близько 3,655 ETH (CRYPTO: ETH) і почав переміщувати прибутки до Ethereum, згідно з повідомленням PeckShield, опублікованим у X.

Поки що викрадено близько 16,8 мільйона доларів у криптовалюті. У мережі Base зловмисник обміняв ~10,5 мільйонів USDC на ~3,655 ETH і почав переміщувати кошти до Ethereum.

Оцінка CertiK надає технічне пояснення експлойту: довільний виклик у контракті 0xswapnet дозволив зловмиснику витягти кошти, які користувачі вже затвердили, фактично обходячи прямий крадіжку з ліквідного пулу SwapNet і використовуючи дозволи, надані маршрутизатору. Це важливо, оскільки вказує на недолік у управлінні або дизайні на рівні інтеграції, а не на порушення власної безпеки або контролю Matcha Meta.

Matcha Meta підтвердила, що вразливість пов’язана з SwapNet і не приписує її власній інфраструктурі. Запити щодо коментарів щодо компенсацій або заходів безпеки залишилися без відповіді, залишаючи постраждалих користувачів без чітких шляхів відшкодування у короткостроковій перспективі. Інцидент ілюструє ширший ризик для агрегаторів DEX: коли партнерські угоди вводять нові інтерфейси контрактів, зловмисники можуть цілитися у дозволені потоки, що поєднують дозволи користувачів і автоматичні перекази коштів.

Загальний стан безпеки у крипто залишається вразливим. У 2025 році вразливості у смарт-контрактах були основною причиною криптоексплойтів, становлячи 30,5% випадків і 56 подій, згідно з щорічним звітом SlowMist. Це підкреслює, що навіть найскладніші проєкти можуть бути зламані через крайні випадки багів або неправильні налаштування у коді, що керує автоматичним переказом цінностей. Компрометація акаунтів і зламані соціальні акаунти (наприклад, облікові записи у X) також становили значну частку інцидентів, що підкреслює багатогранність інструментів атак.

Крім технічних аспектів, інцидент сприяє зростаючій дискусії щодо використання штучного інтелекту у безпеці смарт-контрактів. Звіти DECEMBER зазначають, що комерційно доступні AI-агенти виявили приблизно 4,6 мільйона доларів у ончейн-експлойтах у реальному часі, використовуючи такі інструменти, як Claude Opus 4.5, Claude Sonnet 4.5 і GPT-5 від OpenAI. Зростання застосування AI для досліджень і експлуатацій додає складності у оцінці ризиків для аудиторів і операторів. Ця еволюція підсилює необхідність постійного моніторингу, швидкого відкликання дозволів і гнучких захисних заходів у DeFi.

За два тижні до інциденту з SwapNet сталася інша високопрофільна вразливість у смарт-контракті, що спричинила збитки у 26 мільйонів доларів для протоколу Truebit, що спричинило різке падіння ціни токена TRU (CRYPTO: TRU). Такі випадки підкреслюють, що рівень безпеки смарт-контрактів залишається ключовою точкою атаки для хакерів, навіть тоді, коли інші сфери крипто — зберігання, централізована інфраструктура та поза ланцюгом — також піддаються постійним загрозам. Основна ідея полягає в тому, що управління ризиками має виходити за межі аудитів і боніту, включаючи живе управління, моніторинг у реальному часі та обережність у дозволах і міжланцюгових переміщеннях.

З огляду на ситуацію, експерти наголошують, що шлях до стійкості DeFi лежить через багаторівневі заходи безпеки і прозоре реагування на інциденти. Хоча вразливість SwapNet здається ізольованою, цей випадок підкреслює важливість стандартних аудитів контрактів маршрутизаторів і більшої відповідальності сторонніх модулів, що взаємодіють із коштами користувачів.

Що слід спостерігати далі

Що слід спостерігати далі

Офіційні оновлення Matcha Meta щодо причин інциденту та будь-яких планів щодо відшкодування або виправлень для постраждалих користувачів.

Зовнішні аудити або огляди сторонніх організацій контракту маршрутизатора SwapNet і зміни у управлінні для запобігання повторенню.

Ончейн-моніторинг активності мосту Base-до-Ethereum і подальших переміщень коштів.

Розвиток нормативної бази та галузевих стандартів у сфері безпеки DeFi, зокрема рамки аудиту смарт-контрактів і контролю дозволів користувачів.

Джерела та перевірки

Пост Matcha Meta у X із попередженням користувачам відкликати дозволи SwapNet після злома.

Консультація CertiK, яка визначила експлойт як результат довільного виклику у контракті 0xswapnet, що дозволив переводити затверджені кошти.

Оновлення PeckShield, яке повідомляє про викрадення близько 16,8 мільйона доларів у мережі Base, включаючи обмін USDC на ETH і переміщення до Ethereum.

Щорічний звіт SlowMist 2025 про безпеку блокчейнів і AML, що деталізує частки інцидентів за категоріями, зокрема 30,5% через вразливості смарт-контрактів і 24% через компрометацію акаунтів.

Огляд Cointelegraph щодо інциденту Truebit, включаючи збитки у 26 мільйонів доларів і падіння токена TRU, для ширшого розуміння ризиків, пов’язаних із смарт-контрактами.