Matcha Meta confirma hackeo tras pérdida de $16.8M

La plataforma de agregación de swap y puente construida por 0x, Matcha Meta, ha perdido $16.8 millones en activos digitales debido a una brecha de seguridad de SwapNet, según la plataforma de seguridad Web3 PeckShield.

Matcha Meta reveló el lunes que sufrió una explotación de seguridad durante el fin de semana, donde los atacantes estafaron tokens de un agregador externo integrado en la interfaz de Matcha Meta llamado SwapNet. La plataforma dijo que los usuarios que deshabilitaron su función de "Aprobaciones de Una Sola Vez" y otorgaron permisos de tokens directos a agregadores individuales estaban en riesgo de perder sus fondos.

En la declaración del agregador de swap en X, MM dijo que se dio cuenta de la actividad sospechosa después de que aparecieran registros de grandes movimientos de tokens no autorizados del contrato router de SwapNet en los registros transaccionales. La plataforma confirmó que había contactado al equipo de SwapNet, que "deshabilitó temporalmente sus contratos" para prevenir más pérdidas. 

El hacker de Matcha Meta intercambió 3k monedas Ether de las víctimas

Según la firma de seguridad blockchain PeckShield, el atacante drenó fondos a través de aprobaciones de tokens e intercambios. Movieron aproximadamente 10.5 millones de USDC de direcciones de víctimas en Base, un blockchain de capa 2 de Ether, luego intercambiaron las stablecoins por 3,655 Ether, consolidando el valor en un activo más líquido.

Después de completar los intercambios, el atacante comenzó a transferir el Ether desde Base a la red principal de Ethereum para ocultar cualquier rastro de transacciones. La transferencia entre cadenas es el proceso de transferir activos entre blockchains usando Smart Contracts o protocolos intermediarios. Aunque se considera "legítimo" en la mayoría de los casos, los hackers lo usan porque hace casi imposible rastrear sus operaciones.

El perpetrador había otorgado previamente permisos de tokens para mover fondos sin la firma del usuario, lo que otorga permiso a un Smart Contract para gastar sus tokens. Si un permiso se establece como ilimitado, un contrato malicioso o comprometido puede drenar fondos hasta que el saldo se agote. 

Matcha Meta dijo que los usuarios que interactuaron con la plataforma usando su sistema de Aprobación de Una Sola Vez no fueron afectados. Esa función enruta los permisos de tokens a través de los contratos AllowanceHolder y Settler de 0x, limitando la exposición de un trader al otorgar aprobaciones para una sola transacción. 

"Después de revisar con el equipo de protocolo de 0x, hemos confirmado que la naturaleza del incidente no estuvo asociada con los contratos AllowanceHolder o Settler de 0x", escribió Matcha Meta en X más tarde. La compañía agregó que los usuarios que deshabilitaron las Aprobaciones de Una Sola Vez y establecieron permisos directos en contratos de agregadores "asumen los riesgos de cada agregador".

La plataforma de swap DEX eliminó la función para que los usuarios establezcan permisos directos en agregadores a través de su interfaz, mientras solicitaba a la comunidad que revocara cualquier permiso existente en el contrato router de SwapNet. 

Los hackeos de Smart Contracts de DeFi persisten en 2026

El incidente de Matcha Meta ocurre solo seis días después de que Makina Finance, un protocolo de finanzas descentralizadas con características de ejecución automatizada, sufriera una brecha de red que drenó su pool de liquidez DUSD/USDC en Curve.

Como informó Cryptopolitan, los hackers extrajeron aproximadamente 1,299 Ether del pool de stablecoin de Curve de Makina, valorado en $4.13 millones en ese momento. La brecha involucró proveedores de liquidez no custodiales conectados a un oráculo de precios en cadena, una fuente de datos utilizada por Smart Contracts para determinar valores de activos. 

Según la firma de análisis blockchain Elliptic, gran parte del lavado de dinero de la dark web actual involucra servicios de Intercambio de tokens, incluidos intercambios instantáneos que funcionan a través de sitios web independientes o canales de Telegram.

El año pasado, el agregador de Exchange descentralizado CoWSwap reportó una brecha que resultó en pérdidas de más de $180,000. Aproximadamente $180,000 en DAI fueron robados a través del Smart Contract de ejecución de trading GPv2Settlement de CoWSwap.

La plataforma dijo que el contrato comprometido tenía acceso solo a las tarifas de protocolo recopiladas durante una semana, derivadas de la explotación de una cuenta de solver. En el modelo de CoWSwap, los usuarios firman intenciones de trading que se pasan a solvers de terceros, que compiten para proporcionar los mejores precios y almacenar las tarifas recopiladas.

Las mentes cripto más inteligentes ya leen nuestro boletín. ¿Quieres unirte? Únete a ellos.