Matcha Meta bestätigt Hack nach 16,8 Mio. $ Verlust

Die von 0x entwickelte Swap- und Bridge-Aggregationsplattform Matcha Meta hat laut der Web3-Sicherheitsplattform PeckShield durch eine SwapNet-Sicherheitsverletzung digitale Vermögenswerte im Wert von 16,8 Millionen US-Dollar verloren.

Matcha Meta gab am Montag bekannt, dass es am Wochenende Opfer eines Sicherheitsangriffs wurde, bei dem Angreifer Token von einem externen Aggregator namens SwapNet, der in die Benutzeroberfläche von Matcha Meta integriert ist, gestohlen haben. Die Plattform teilte mit, dass Benutzer, die die Funktion „Einmalige Genehmigungen" deaktiviert und einzelnen Aggregatoren direkte Token-Berechtigungen erteilt hatten, Gefahr liefen, ihre Gelder zu verlieren.

In der Erklärung des Swap-Aggregators auf X sagte MM, dass es auf verdächtige Aktivitäten aufmerksam wurde, nachdem Aufzeichnungen über große, nicht autorisierte Token-Bewegungen aus dem Router-Vertrag von SwapNet in den Transaktionsaufzeichnungen erschienen. Die Plattform bestätigte, dass sie das SwapNet-Team kontaktiert hatte, das „seine Verträge vorübergehend deaktiviert" hatte, um weitere Verluste zu verhindern. 

Matcha Meta-Hacker tauschte 3.000 Ether von Opfern

Laut dem Blockchain-Sicherheitsunternehmen PeckShield entzog der Angreifer Gelder über Token-Genehmigungen und Swaps. Sie transferierten etwa 10,5 Millionen USDC von Opferadressen auf Base, einer Ether Layer-2-Blockchain, und tauschten dann die Stablecoins gegen 3.655 Ether, um den Wert in einem liquideren Vermögenswert zu konsolidieren.

Nach Abschluss der Swaps begann der Angreifer, die Ether von Base zum Ethereum-Mainnet zu überbrücken, um Transaktionsspuren zu verbergen. Bridging ist der Prozess der Übertragung von Vermögenswerten zwischen Blockchains mithilfe von Smart-Contracts oder Vermittlerprotokollen. Obwohl es in den meisten Fällen als „legitim" gilt, nutzen Hacker es, weil es nahezu unmöglich macht, ihre Operationen zu verfolgen.

Der Täter hatte zuvor Token-Genehmigungen erteilt, um Gelder ohne die Unterschrift des Benutzers zu bewegen, was einem Smart-Contract die Erlaubnis gibt, deren Token auszugeben. Wenn eine Genehmigung auf unbegrenzt gesetzt ist, kann ein bösartiger oder kompromittierter Vertrag Gelder abziehen, bis das Guthaben aufgebraucht ist. 

Matcha Meta erklärte, dass Benutzer, die über das Einmalige-Genehmigungs-System mit der Plattform interagierten, nicht betroffen waren. Diese Funktion leitet Token-Berechtigungen über die AllowanceHolder- und Settler-Verträge von 0x, wodurch die Exposition eines Händlers begrenzt wird, indem Genehmigungen für eine einzelne Transaktion erteilt werden. 

„Nach Überprüfung mit dem Protokollteam von 0x haben wir bestätigt, dass die Art des Vorfalls nicht mit den AllowanceHolder- oder Settler-Verträgen von 0x in Verbindung stand", schrieb Matcha Meta später auf X. Das Unternehmen fügte hinzu, dass Benutzer, die Einmalige Genehmigungen deaktivierten und direkte Genehmigungen für Aggregator-Verträge festlegten, „die Risiken jedes Aggregators übernehmen".

Die DEX-Swap-Plattform hat die Funktion für Benutzer entfernt, direkte Genehmigungen für Aggregatoren über ihre Benutzeroberfläche festzulegen, und forderte die Community auf, alle bestehenden Berechtigungen für den Router-Vertrag von SwapNet zu widerrufen. 

DeFi-Smart-Contract-Hacks bleiben 2026 bestehen

Der Matcha Meta-Vorfall ereignete sich nur sechs Tage nach Makina Finance, einem dezentralisierten Finanzprotokoll mit automatisierten Ausführungsfunktionen, das eine Netzwerkverletzung erlitt, bei der sein DUSD/USDC-Liquiditätspool auf Curve geleert wurde.

Wie von Cryptopolitan berichtet, entwendeten Hacker etwa 1.299 Ether aus Makinas Curve-Stablecoin-Pool, die zu diesem Zeitpunkt 4,13 Millionen US-Dollar wert waren. Die Verletzung betraf nicht-verwahrende Liquiditätsanbieter, die mit einem On-Chain-Preisorakel verbunden waren, einem Datenfeed, der von Smart-Contracts zur Bestimmung von Vermögenswerten verwendet wird. 

Laut dem Blockchain-Analyseunternehmen Elliptic beinhaltet ein Großteil der heutigen Darknet-Geldwäsche Coin-Swap-Dienste, einschließlich Sofortaustausch-Services, die über eigenständige Websites oder Telegram-Kanäle laufen.

Letztes Jahr meldete der dezentralisierte Börsen-Aggregator CoWSwap eine Verletzung, die zu Verlusten von mehr als 180.000 US-Dollar führte. DAI im Wert von etwa 180.000 US-Dollar wurde über den GPv2Settlement-Smart-Contract zur Handelsausführung von CoWSwap gestohlen.

Die Plattform erklärte, dass der kompromittierte Vertrag nur Zugriff auf über eine Woche gesammelte Protokollgebühren hatte, die aus der Ausnutzung eines Solver-Kontos stammten. Im Modell von CoWSwap unterzeichnen Benutzer Handelsabsichten, die an Drittanbieter-Solver weitergegeben werden, die um die besten Preise konkurrieren und gesammelte Gebühren speichern.

Die klügsten Krypto-Köpfe lesen bereits unseren Newsletter. Dabei sein? Schließen Sie sich ihnen an.