صرافیDEX+

خرید ارز دیجیتال بازارها اسپات فیوچرزGOLD پس انداز مرکز رویدادها

بیشتر

متچا متا نقض امنیتی مرتبط با SwapNet را افشا کرد که پس از سوءاستفاده مهاجمان از تأییدیه‌های مستقیم توکن، حدود 16.8 میلیون دلار را تخلیه کرد.متچا متا نقض امنیتی مرتبط با SwapNet را افشا کرد که پس از سوءاستفاده مهاجمان از تأییدیه‌های مستقیم توکن، حدود 16.8 میلیون دلار را تخلیه کرد.

متچا متا هک را پس از ضرر 16.8 میلیون دلاری تأیید می‌کند

نویسنده: Cryptopolitan

منبع: Cryptopolitan

2026/01/26 17:30

اشتراک

بر اساس گزارش پلتفرم امنیتی Web3 به نام PeckShield، پلتفرم تجمیع‌کننده سواپ و پل که توسط 0x ساخته شده است، Matcha Meta، به دلیل نقض امنیتی SwapNet، 16.8 میلیون دلار دارایی دیجیتال از دست داده است.

Matcha Meta روز دوشنبه اعلام کرد که در آخر هفته دچار یک سوء استفاده امنیتی شده است، جایی که مهاجمان توکن‌هایی را از یک تجمیع‌کننده خارجی که در رابط Matcha Meta با نام SwapNet یکپارچه شده بود، کلاهبرداری کردند. این پلتفرم اعلام کرد کاربرانی که ویژگی "تاییدیه‌های یک‌بار مصرف" آن را غیرفعال کرده و مجوزهای مستقیم توکن را به تجمیع‌کننده‌های فردی اعطا کردند، در معرض خطر از دست دادن وجوه خود بودند.

در بیانیه تجمیع‌کننده سواپ در X، MM گفت که پس از ظاهر شدن سوابق حرکات بزرگ و غیرمجاز توکن از قرارداد هوشمند مسیریاب SwapNet در سوابق تراکنش‌ها، از فعالیت‌های مشکوک آگاه شد. این پلتفرم تأیید کرد که با تیم SwapNet تماس گرفته است که "به طور موقت قراردادهای هوشمند خود را غیرفعال کرده" تا از زیان‌های بیشتر جلوگیری کند.

هکر Matcha Meta، 3 هزار اتریوم از قربانیان سواپ کرد

بر اساس گزارش شرکت امنیت بلاک چین PeckShield، مهاجم از طریق تاییدیه‌ها و سواپ‌های توکن، وجوه را تخلیه کرد. آن‌ها تقریباً 10.5 میلیون USDC را از آدرس‌های قربانیان در Base، یک بلاک چین اتریوم لایه-2، منتقل کردند، سپس استیبل کوین‌ها را با 3,655 اتریوم سواپ کردند و ارزش را در یک دارایی نقدشونده‌تر تجمیع کردند.

پس از تکمیل سواپ‌ها، مهاجم شروع به انتقال اتریوم از Base به شبکه اصلی اتریوم کرد تا هرگونه ردپای تراکنش را پنهان کند. پل زدن فرآیند انتقال دارایی‌ها بین بلاک چین‌ها با استفاده از قراردادهای هوشمند یا پروتکل‌های واسطه است. اگرچه در بیشتر موارد "قانونی" تلقی می‌شود، هکرها از آن استفاده می‌کنند زیرا ردیابی عملیات آن‌ها را تقریباً غیرممکن می‌کند.

مرتکب قبلاً مجوزهای توکن را برای انتقال وجوه بدون امضای کاربر اعطا کرده بود، که به قرارداد هوشمند اجازه می‌دهد توکن‌های آن‌ها را خرج کند. اگر یک مجوز به نامحدود تنظیم شود، یک قرارداد مخرب یا به خطر افتاده می‌تواند وجوه را تا زمانی که موجودی تخلیه شود، تخلیه کند.

Matcha Meta گفت کاربرانی که با استفاده از سیستم تاییدیه یک‌بار مصرف آن با پلتفرم تعامل داشتند، تحت تأثیر قرار نگرفتند. این ویژگی مجوزهای توکن را از طریق قراردادهای هوشمند AllowanceHolder و Settler متعلق به 0x هدایت می‌کند و با اعطای تاییدیه‌ها برای یک تراکنش واحد، قرار گرفتن معامله‌گر در معرض خطر را محدود می‌کند.

"پس از بررسی با تیم پروتکل 0x، تأیید کرده‌ایم که ماهیت این حادثه با قراردادهای هوشمند AllowanceHolder یا Settler متعلق به 0x مرتبط نبوده است،" Matcha Meta بعداً در X نوشت. شرکت اضافه کرد که کاربرانی که تاییدیه‌های یک‌بار مصرف را غیرفعال کرده و مجوزهای مستقیم را در قراردادهای تجمیع‌کننده تنظیم کرده‌اند، "خطرات هر تجمیع‌کننده را بر عهده می‌گیرند."

پلتفرم صرافی غیر متمرکز سواپ، عملکرد تنظیم مجوزهای مستقیم توسط کاربران در تجمیع‌کننده‌ها از طریق رابط خود را حذف کرد، در حالی که از جامعه خواست هرگونه مجوز موجود در قرارداد مسیریاب SwapNet را لغو کنند.

هک‌های قرارداد هوشمند امور مالی غیر متمرکز با نام اختصاری دیفای در سال 2026 ادامه دارد

حادثه Matcha Meta تنها شش روز پس از آن رخ داد که Makina Finance، یک پروتکل امور مالی غیر متمرکز با ویژگی‌های اجرای خودکار، دچار نقض شبکه شد که استخر نقدینگی DUSD/USDC آن را در Curve تخلیه کرد.

همانطور که گزارش شد توسط Cryptopolitan، هکرها حدود 1,299 اتریوم از استخر استیبل کوین Curve متعلق به Makina استخراج کردند که در آن زمان ارزش آن 4.13 میلیون دلار بود. این نقض شامل ارائه‌دهندگان نقدینگی غیرحضانتی متصل به یک اوراکل قیمت‌گذاری درون زنجیره بود، یک فید داده که توسط قراردادهای هوشمند برای تعیین ارزش دارایی‌ها استفاده می‌شود.

طبق گزارش شرکت تحلیل بلاک چین Elliptic، بسیاری از پولشویی وب تاریک امروزی شامل خدمات سواپ توکن، از جمله مبادلات فوری است که از طریق وب‌سایت‌های مستقل یا کانال‌های تلگرام اجرا می‌شوند.

سال گذشته، تجمیع‌کننده صرافی غیر متمرکز CoWSwap یک نقض را گزارش کرد که منجر به زیان‌های بیش از 180,000 دلار شد. حدود 180,000 دلار DAI از طریق قرارداد هوشمند اجرای معاملات GPv2Settlement متعلق به CoWSwap سرقت شد.

این پلتفرم گفت که قرارداد به خطر افتاده فقط به کارمزدهای پروتکل جمع‌آوری شده در طول یک هفته دسترسی داشت که ناشی از سوء استفاده از یک حساب حل‌کننده بود. در مدل CoWSwap، کاربران قصد معاملات را امضا می‌کنند که به حل‌کننده‌های شخص ثالث منتقل می‌شود، که برای ارائه بهترین قیمت‌ها رقابت می‌کنند و کارمزدهای جمع‌آوری شده را ذخیره می‌کنند.

باهوش‌ترین ذهن‌های رمزارزی از قبل خبرنامه ما را می‌خوانند. می‌خواهید وارد شوید؟ به آن‌ها بپیوندید.

سلب مسئولیت: مطالب بازنشرشده در این وب‌ سایت از منابع عمومی گردآوری شده‌ اند و صرفاً به‌ منظور اطلاع‌ رسانی ارائه می‌ شوند. این مطالب لزوماً بازتاب‌ دهنده دیدگاه‌ ها یا مواضع MEXC نیستند. کلیه حقوق مادی و معنوی آثار متعلق به نویسندگان اصلی است. در صورت مشاهده هرگونه محتوای ناقض حقوق اشخاص ثالث، لطفاً از طریق آدرس ایمیل service@support.mexc.com با ما تماس بگیرید تا مورد بررسی و حذف قرار گیرد.MEXC هیچ‌ گونه تضمینی نسبت به دقت، جامعیت یا به‌ روزبودن اطلاعات ارائه‌ شده ندارد و مسئولیتی در قبال هرگونه اقدام یا تصمیم‌ گیری مبتنی بر این اطلاعات نمی‌ پذیرد. همچنین، محتوای منتشرشده نباید به‌عنوان توصیه مالی، حقوقی یا حرفه‌ ای تلقی شود و به منزله پیشنهاد یا تأیید رسمی از سوی MEXC نیست.