Вразливість SwapNet призвела до витоку 16,8 мільйонів доларів після помилки затвердження на Matcha Meta

ETH-0,61%
ARB0,06%
BNB-1,6%

Коротко

  • Вразливість SwapNet спричинила витік $16,8M після того, як користувачі вимкнули захист одноразових дозволів.
  • Зловмисник обміняв $10,5M USDC на ETH на Base перед мостом до Ethereum.
  • Matcha Meta вимкнула уразливі контракти, оскільки компанії з безпеки вказують на ширші ризики у DeFi.

Злом, пов’язаний із SwapNet, призвів до втрат близько $16,8 мільйонів, що вплинуло на користувачів, які взаємодіяли через Matcha Meta. Інцидент здебільшого торкнувся користувачів, які вимкнули одноразові дозволи, тим самим піддавши ризику постійні дозволи на токени.

Команда з безпеки блокчейну PeckShieldAlert виявила вразливість і простежила початкові рухи коштів. Зловмисник цілеспрямовано атакував контракти маршрутизатора SwapNet, які зберігали необмежені дозволи від постраждалих гаманців користувачів.

У мережі Base зловмисник обміняв приблизно $10,5 мільйонів USDC на близько 3 655 ETH. Незабаром після цього він почав мостити конвертовані активи до основної мережі Ethereum, щоб ускладнити відстеження.

SwapNet працює як маршрутизатор ліквідності, який використовується Matcha Meta для пошуку цін і глибокої ліквідності. Вразливість полягала у зловживанні існуючих дозволів, а не у зломі приватних ключів або основної інфраструктури.

Matcha Meta, створена командою 0x, підтвердила проблему і одразу вимкнула уразливі контракти SwapNet. Платформа також видалила опцію, яка дозволяла користувачам надавати прямі дозволи третім сторонам-агрегаторам.

Розслідування розширюється, оскільки компанії з безпеки вказують на ширші ризики

Додатковий аналіз показав, що вразливість виникла через довільний виклик у контрактах SwapNet. Ця помилка дозволяла зловмисникам переводити затверджені токени без запиту нових дозволів.

Компанія з безпеки BlockSec повідомила, що кілька контрактів на різних ланцюгах зазнали втрат понад $17 мільйонів. Постраждали мережі Ethereum, Arbitrum, Base і BNB Chain, що розширює масштаб інциденту.

Окремо CertiK оцінив, що викрадено близько $13,3 мільйонів USDC у зв’язку з цією діяльністю.
Деякі контракти залишилися закритими і неперевіреними під час розгортання.

Matcha Meta пізніше підтвердила, що основні контракти 0x не постраждали від інциденту.
Користувачі, які використовували одноразові дозволи через інфраструктуру 0x, залишилися незатронутими.

Цей інцидент знову підняв питання щодо постійних дозволів на токени у децентралізованих фінансах.
Необмежені дозволи забезпечують зручність, але підвищують ризики під час збоїв у смарт-контрактах.

Тим часом, дослідник блокчейну ZachXBT критикував затримку у відповіді Circle щодо заморожування залишків USDC. Близько $3 мільйонів, за повідомленнями, залишалися на адресах, які могли бути заморожені під час відповіді.

Злом додає до зростаючого списку провалів безпеки у DeFi на початку 2026 року. Дані галузі показують, що викрадені криптофонди досягли рекордних рівнів за останні роки, що посилює тиск на практики безпеки протоколів.

ДИСКЛЕЙМЕР: Інформація на цьому сайті надається як загальний коментар до ринку і не є інвестиційною порадою. Ми рекомендуємо проводити власне дослідження перед інвестуванням.
Переглянути оригінал
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до Застереження.

Пов'язані статті

Обвинувачений у шахрайстві на 900 мільйонів юанів у BHE Exchange був затриманий у Таїланді через 2 роки після втечі

Китайський чоловік був затриманий у Таїланді за підозрою у шахрайстві з криптовалютною платформою BHE Exchange, що зачепило близько 20 000 жертв і спричинило збитки понад 128 мільйонів доларів США. Після обіцянки високих доходів платформа закрилася, зараз його передано слідчим органам, очікує на депортацію до Китаю для розгляду справи.

GateNewsBot16год тому

Step Finance, SolanaFloor і Remora Markets припинять усі операції

Step Finance、SolanaFloor та Remora Markets оголосили про припинення діяльності через злом у січні, внаслідок якого було викрадено активи на суму 40 мільйонів доларів. Не знайшовши життєздатного плану відновлення бізнесу, було прийнято рішення припинити всі операції та запропонувати викуп і викупні схеми для власників забезпечених токенів.

GateNewsBot18год тому

ZeroLend припинить свою діяльність, рекомендується користувачам вивести залишки коштів з платформи

Децентралізована протокол позик Zerolend оголосила про припинення всієї діяльності через зменшення підтримки ринку та зростання зловмисних дій, що зробило її неспроможною функціонувати. Користувачам рекомендується вивести залишкові кошти, ZeroLend оновить смарт-контракти для спроби повернути постраждалі активи.

GateNewsBot02-17 05:44

Мультичейн-протокол позики ZeroLend поступово припинить свою роботу, рекомендується користувачам якомога швидше вивести кошти.

ZeroLend оголосив про поступове припинення роботи через те, що поточний стан протоколу є незбалансованим, зниження ліквідності та збільшення кількості зловмисних дій. Команда пріоритетно зосереджена на забезпеченні безпечного виведення активів користувачами та рекомендує користувачам якомога швидше зняти кошти.

GateNewsBot02-16 14:35

Торговельна компанія BlockFills призупинила депозити та зняття коштів, чи може кризова ситуація з ліквідністю отримати позитивний розвиток?

Останнім часом криптовалютний ринок зазнав значних коливань, і через тиск ліквідності Blockfills тимчасово припинив обслуговування клієнтських внесків і зняттів, хоча певні операції все ще можливі. Як платформа ліквідності, яка обслуговує кілька організацій, її зупинка викликала занепокоєння на ринку і нагадала про криптозиму 2022 року. Blockfills має сильних інвесторів, і чи зможе вона успішно відновитися у майбутньому, ще потрібно спостерігати.

区块客02-16 00:09
Прокоментувати
0/400
Немає коментарів