ماتشا ميتا تؤكد الاختراق بعد خسارة 16.8 مليون دولار

فقدت منصة تجميع المبادلات والجسور التي بناها 0x، Matcha Meta، 16.8 مليون دولار من الأصول الرقمية بسبب خرق أمني في SwapNet، وفقاً لمنصة أمان Web3 PeckShield.

كشفت Matcha Meta يوم الاثنين أنها تعرضت لاستغلال أمني خلال عطلة نهاية الأسبوع، حيث احتال المهاجمون على الرموز من مُجمِّع خارجي متكامل في واجهة Matcha Meta يُسمى SwapNet. قالت المنصة إن المستخدمين الذين عطلوا ميزة "الموافقات لمرة واحدة" ومنحوا أذونات الرموز المباشرة للمُجمِّعات الفردية كانوا معرضين لخطر فقدان أموالهم.

في بيان مُجمِّع المبادلات على X، قالت MM إنها أصبحت على علم بنشاط مشبوه بعد ظهور سجلات لحركات رموز كبيرة وغير مصرح بها من عقد موجه SwapNet في السجلات التداولية. أكدت المنصة أنها اتصلت بفريق SwapNet، الذي "عطل عقوده مؤقتاً" لمنع المزيد من الخسائر. 

قام مخترق Matcha Meta بمبادلة 3 آلاف عملة إيثر من الضحايا

وفقاً لشركة أمان البلوكتشين PeckShield، استنزف المهاجم الأموال عبر موافقات الرموز والمبادلات. نقلوا حوالي 10.5 مليون USDC من عناوين الضحايا على Base، وهي بلوكتشين إيثر من الطبقة الثانية، ثم بادلوا العملات المستقرة بـ 3,655 إيثر، موحدين القيمة في أصل أكثر سيولة.

بعد إكمال المبادلات، بدأ المهاجم في نقل الإيثر من Base إلى شبكة إيثريوم الرئيسية لإخفاء أي آثار للمعاملات. النقل هو عملية تحويل الأصول بين البلوكتشينات باستخدام العقود الذكية أو البروتوكولات الوسيطة. على الرغم من أنه يُعتبر "شرعياً" في معظم الحالات، إلا أن المتسللين يستخدمونه لأنه يجعل من المستحيل تقريباً تتبع عملياتهم.

كان الجاني قد منح مسبقاً بدلات الرموز لنقل الأموال دون توقيع المستخدم، مما يمنح إذناً للعقد الذكي لإنفاق رموزهم. إذا تم تعيين البدل على غير محدود، يمكن لعقد ضار أو مخترق استنزاف الأموال حتى نفاد الرصيد. 

قالت Matcha Meta إن المستخدمين الذين تفاعلوا مع المنصة باستخدام نظام الموافقة لمرة واحدة لم يتأثروا. توجه هذه الميزة أذونات الرموز عبر عقود AllowanceHolder وSettler الخاصة بـ 0x، مما يحد من تعرض المتداول من خلال منح الموافقات لمعاملة واحدة. 

"بعد المراجعة مع فريق بروتوكول 0x، أكدنا أن طبيعة الحادث لم تكن مرتبطة بعقود AllowanceHolder أو Settler الخاصة بـ 0x،" كتبت Matcha Meta على X لاحقاً. أضافت الشركة أن المستخدمين الذين عطلوا الموافقات لمرة واحدة وحددوا البدلات المباشرة على عقود المُجمِّع "يتحملون مخاطر كل مُجمِّع."

أزالت منصة مبادلة DEX وظيفة المستخدمين لتعيين البدلات المباشرة على المُجمِّعات من خلال واجهتها، بينما طلبت من المجتمع إلغاء أي أذونات موجودة على عقد موجه SwapNet. 

تستمر اختراقات العقود الذكية DeFi في عام 2026

تأتي حادثة Matcha Meta بعد ستة أيام فقط من تعرض Makina Finance، وهو بروتوكول التمويل اللامركزي بميزات التنفيذ التلقائي، لخرق شبكة أدى إلى استنزاف مجمع السيولة DUSD/USDC الخاص به على Curve.

كما أفاد Cryptopolitan، استخرج المتسللون حوالي 1,299 إيثر من مجمع عملة مستقرة Curve الخاص بـ Makina، بقيمة 4.13 مليون دولار في ذلك الوقت. تضمن الخرق مزودي سيولة غير احتجازيين متصلين بوحدة تسعير بيانات على السلسلة، وهي موجز بيانات تستخدمه العقود الذكية لتحديد قيم الأصول. 

وفقاً لشركة تحليلات البلوكتشين Elliptic، يتضمن الكثير من غسيل الأموال على الويب المظلم اليوم خدمات تبادل العملات، بما في ذلك التبادلات الفورية التي تعمل من خلال مواقع ويب مستقلة أو قنوات Telegram.

في العام الماضي، أبلغ مُجمِّع منصات التداول اللامركزية CoWSwap عن خرق أدى إلى خسائر تزيد عن 180,000 دولار. تم سرقة حوالي 180,000 دولار من DAI من خلال العقد الذكي لتنفيذ التداول GPv2Settlement الخاص بـ CoWSwap.

قالت المنصة إن العقد المخترق كان لديه وصول فقط إلى رسوم البروتوكول المجمعة على مدار أسبوع واحد، نابعة من استغلال حساب الحلال. في نموذج CoWSwap، يوقع المستخدمون نوايا التداول التي يتم تمريرها إلى حلالين من طرف ثالث، الذين يتنافسون لتوفير أفضل الأسعار وتخزين الرسوم المجمعة.

أذكى عقول الكريبتو تقرأ بالفعل نشرتنا الإخبارية. هل تريد الانضمام؟ انضم إليهم.