Вразливість SwapNet підкреслює ризики смарт-контрактів, оскільки крадіжки криптовалют перевищили $3.41 млрд, що спричинено міжланцюговими рухами та слабкими затвердженнями.
Децентралізований агрегатор обмінів Matcha Meta повідомив про інцидент безпеки, пов’язаний із його інтеграцією SwapNet. За даними кількох спостерігачів у блокчейні, зловмисники вивели криптоактиви на суму близько $16.8 мільйонів після атаки, яка спрямовувалась на вразливість смарт-контракту платформи.
Вразливість інтеграції SwapNet викликає інцидент безпеки у Matcha Meta
У повідомленні в понеділок Matcha Meta пояснив, що став жертвою порушення безпеки напередодні. У розкритті інформації зазначається, що зловмисники перемістили цифрові активи з зовнішнього агрегатора, пов’язаного з інтерфейсом Matcha Meta, SwapNet.
Після перегляду з командою протоколу 0x ми підтвердили, що характер інциденту не пов’язаний із контрактами AllowanceHolder або Settler від 0x.
Користувачі, які взаємодіяли з Matcha Meta через Одноразове затвердження, тому безпечні.
Користувачі, які вимкнули Одноразове… https://t.co/VQVmj4LL0F
— Matcha Meta 🎆 (@matchametaxyz) 25 січня 2026
Платформа повідомила, що виявила підозрілі рухи після помічених великих, несанкціонованих переказів із контракту маршрутизатора SwapNet. У заяві MM підтвердив, що зв’язався з командою SwapNet для тимчасового відключення їхніх контрактів.
За повідомленнями компанії з безпеки блокчейнів PeckShield, збитки від порушення оцінюються приблизно у $16.8 мільйонів. Аналіз показав, що зловмисник обміняв близько $10.5 мільйонів USDC на Base на приблизно 3,655 ETH. Після цього кошти були перекинуті на Ethereum.
Тим часом, CertiK раніше оцінив збитки близько $13.3 мільйонів у USDC на Base. CertiK пов’язав атаку з вразливістю «довільного виклику» у контракті SwapNet, що дозволяло раніше затвердженим коштам бути переведені на контракт.
Matcha Meta не підтвердив, чи були повністю втрачені кошти користувачів. Початкове повідомлення зазначало, що ризик був обмежений користувачами, які вимкнули Одноразові затвердження і встановлювали прямі дозволи на конкретні контракти агрегаторів. Протокол додав, що облікові записи з використанням Одноразового затвердження не постраждали.
Але після перегляду з командою протоколу 0x, Matcha Meta уточнив, що проблема не стосувалася контрактів AllowanceHolder або Settler від 0x.
Команда уточнила, що користувачі, які вимкнули Одноразове затвердження і покладаються на прямі дозволи, беруть на себе додатковий ризик, пов’язаний з кожним агрегатором. Matcha Meta додав, що видалив опцію встановлення прямих дозволів на агрегатори, щоб запобігти подібним інцидентам.
Недоліки смарт-контрактів і міжланцюгове відмивання сприяють зростанню кількості криптовалютних зломів
З зростанням ринку криптовалют безпекові порушення продовжують чинити тиск на проєкти та платформи у секторі. За даними Chainalysis, крадіжки, пов’язані з крипто, перевищили $3.41 мільярда у 2025 році, що трохи більше за попередній рік.
Велика частка незаконної діяльності пов’язана з швидким переміщенням активів між ланцюгами та сервісами, створеними для приховування слідів транзакцій.
Цікаво, що дослідження Elliptic показало, що багато операцій з відмивання тепер покладаються на сервіси обміну монет. Такі сервіси часто працюють через окремі вебсайти або канали Telegram, що дозволяє зловмисникам швидко переміщувати вкрадені кошти.
Подібні ризики з’явилися минулого року, коли децентралізований агрегатор обмінів CoWSwap повідомив про злом. Під час атаки у блокчейні було знято близько $180,000 у DAI через смарт-контракт GPv2Settlement.
Як зазначають спостерігачі ринку, недоліки смарт-контрактів залишаються однією з головних причин збитків. SlowMist повідомив, що вразливості контрактів становили трохи більше 30% від усіх криптоексплойтів у 2025 році.
_Ілюстративне джерело: _SlowMist
Крім того, експерти вказують на прогрес у технології штучного інтелекту як ще один фактор, що сприяє активному використанню вразливостей. Штучний інтелект допомагає виявляти вразливості та здійснювати активне використання.
Один з хаків на $1.5 мільярда у Bybit становив 44% усіх збитків за минулий рік. Тим часом, групи, пов’язані з Північною Кореєю, викрали рекордні $2.02 мільярда.
З початку року платформи, орієнтовані на криптовалюти, зазнали сплеску атак. DeFi-протокол Makina Finance втратив близько $4.13 мільйонів після того, як хакери злили його пул DUSD/USDC на Curve. Незабаром після цього мережа Layer-1 Saga призупинила свою ланцюг SagaEVM після зламу, що перемістив майже $7 мільйонів активів у Ethereum.
Ілюстрація Клінта Паттерсона з Unsplash
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
