Matcha Meta kinnitab häkkimist pärast 16,8 miljoni dollari suurust kahju/

0x-i poolt loodud vahetuse ja võrgu ühendamise platvorm Matcha Meta on kaotanud 16,8 miljonit dollarit digitaalsetest varadest SwapNeti turvalisusrikkumise tõttu, teatas Web3 turvalisusplatvorm PeckShield.

Matcha Meta teatas esmaspäeval, et nädalavahetusel toimus turvarikkumine, kus ründajad pettisid välisest vahetuse agregaatorist, mis oli integreeritud Matcha Meta liidesesse ja kandis nime SwapNet, tokenid. Platvorm teatas, et kasutajad, kes keelasid oma "Ühekordsed lubadused" funktsiooni ja andsid otsest tokenite lubamist individuaalsetele agregaatoritele, olid riskis oma rahast ilma jääda.

Vahetuse agregaatori avalduses X-s ütles MM, et sai kahtlase tegevuse kohta teada pärast seda, kui SwapNeti routerikontraktist ilmusid suuremahulised, volitusteta tokenite liigutused tehingute arvestuses. Platvorm kinnitas, et võttis ühendust SwapNeti meeskonnaga, kes "keelas ajutiselt oma kontraktid ära", et vältida edasist kahju. 

Matcha Meta häkker vahetas ohvrite 3000 Etheri mündid

Blockchaini turvalisusfirma PeckShield andmetel tõmbas ründaja rahad läbi tokenite lubade ja vahetuste. Nad viisid umbes 10,5 miljonit USDC ohvrite aadressidelt Base'is, Etheri layer-2 blockchainis, seejärel vahetasid nad stabiilne mündid 3655 Etheri vastu, konsolideerides väärtuse likviidsemasse varasse.

Pärast vahetuste lõpetamist hakkas ründaja Bridge'i abil Etherit Base’ist Ethereumi peavõrku viima, et varjata igasuguseid tehingu jälgi. Bridge'i protsess hõlmab varade ülekandmist blockchainide vahel nutikontrollide või vahendusprotokollide abil. Kuigi enamikel juhtudel peetakse seda "legitiimseks", kasutavad seda häkkerid, sest see muudab nende tegevuse jälgimise pea võimatuks.

Süüdlane oli varem andnud tokenite lubadusi rahade liigutamiseks ilma kasutaja allkirjastamiseta, mis annab nutikontrollile õiguse nende tokeneid kulutada. Kui luba on seatud piiramatult, võib pahatahtlik või nakatunud kontroll rahad tühjaks tõmmata, kuni saldo otsa saab. 

Matcha Meta teatas, et kasutajad, kes interakteerisid platvormiga tema Ühekordse Luba süsteemi abil, ei kannatanud. See funktsioon suunab tokenite lubadused 0x AllowanceHolder ja Settler kontraktide kaudu, piirates kaupleja kokkupuudet, andes lubadused ühele tehingule. 

“Pärast 0x protokolli meeskonnaga ülevaatamist oleme kinnitanud, et juhtunu iseloom ei olnud seotud 0x AllowanceHolder või Settler kontraktsiga,” kirjutas Matcha Meta hiljem X-s. Ettevõte lisas, et kasutajad, kes keelasid Ühekordsed lubadused ja andsid otsest lubamist agregaatorikontraktidele, “võtavad enda peale iga agregaatori riskid.”

DEX vahetuse platvorm eemaldas funktsiooni, millega kasutajad said agregaatoritele otsest lubamist anda oma liideses, samas palus kogukonnal tühistada kõik olemasolevad lubadused SwapNeti routerikontraktis. 

DeFi nutikontrollide häkkimised jätkuvad 2026. aastal

Matcha Meta juhtum leidis aset vaid kuus päeva pärast seda, kui Makina Finance, automatiseeritud tegevusega detsentraliseeritud finantsprotokoll, kannatas võrgurikkumise all, mis tõmbas tühjaks DUSD/USDC likviidsuspargi Curve’is.

Nagu teatas Cryptopolitan, tõmbasid häkkerid Makina Curve stabiilne mündipargist umbes 1299 Etheri, mis oli sel hetkel väärt 4,13 miljonit dollarit. Rikkumine hõlmas mittekustoodavaid likviidsuse pakkujaid, kes olid ühendatud plokiahela hindamispäringuga, andmefeediga, mida nutikontrollid kasutavad varade väärtuste määramiseks. 

Blockchaini analüüsifirma Elliptic andmetel on tänapäeval suur osa tumeda veebi rahapesust seotud mündivahetusteenustega, sealhulgas kiirete vahetustega, mis toimivad eraldi veebisaitidel või Telegrami kanalites.

Eelmisel aastal teatas detsentraliseeritud vahetuse agregaator CoWSwap rikkumisest, mis põhjustas enam kui 180 000 dollari suuruse kahju. Umbes 180 000 dollarit DAI-st varastati CoWSwapi kaubanduse teostamise GPv2Settlement nutikontrolli kaudu.

Platvorm teatas, et haavatud kontrakt pääses ligi ainult ühe nädala jooksul kogutud protokolli tasudele, tulenevalt lahendaja kontode ekspluateerimisest. CoWSwapi mudelis allkirjastavad kasutajad kaubanduse kavatsused, mis edastatakse kolmandate osapoolte lahendajatele, kes konkureerivad parimate hindade pakkumiseks ja kogutud tasude hoidmiseks.

Kõige targemad krüptomaailma mõtlejad loevad juba meie uudiskirja. Kas soovite kaasa tulla? Liituge nendega.