Matcha Meta confirme le piratage après une perte de 16,8 M$

La plateforme d'agrégation de swap et de bridge construite par 0x, Matcha Meta, a perdu 16,8 millions de dollars d'actifs numériques en raison d'une faille de sécurité de SwapNet, selon la plateforme de sécurité Web3 PeckShield.

Matcha Meta a révélé lundi qu'elle a subi une exploitation de sécurité au cours du week-end, où des attaquants ont dérobé des tokens d'un agrégateur externe intégré à l'interface de Matcha Meta appelé SwapNet. La plateforme a déclaré que les utilisateurs qui avaient désactivé sa fonctionnalité "One-Time Approvals" et accordé des permissions de tokens directes aux agrégateurs individuels risquaient de perdre leurs fonds.

Dans la déclaration de l'agrégateur de swap sur X, MM a indiqué avoir pris connaissance d'une activité suspecte après que des enregistrements de mouvements importants et non autorisés de tokens provenant du contrat routeur de SwapNet soient apparus dans les relevés transactionnels. La plateforme a confirmé avoir contacté l'équipe SwapNet, qui a "temporairement désactivé ses contrats" pour éviter de nouvelles pertes. 

Le pirate de Matcha Meta a échangé 3 000 pièces Ether des victimes

Selon la société de sécurité blockchain PeckShield, l'attaquant a drainé des fonds via des approbations et des swaps de tokens. Ils ont déplacé environ 10,5 millions d'USDC à partir d'adresses de victimes sur Base, une blockchain Ether de couche 2, puis ont échangé les stablecoins contre 3 655 Ether, consolidant la valeur en un actif plus liquide.

Après avoir terminé les swaps, l'attaquant a commencé à transférer l'Ether de Base vers la Blockchain Ethereum principale pour masquer toute trace de transaction. Le bridging est le processus de transfert d'actifs entre blockchains en utilisant des Smart Contracts (Contrats Intelligents) ou des protocoles intermédiaires. Bien qu'il soit considéré comme "légitime" dans la plupart des cas, les pirates l'utilisent car il rend presque impossible le suivi de leurs opérations.

L'auteur avait précédemment accordé des allocations de tokens pour déplacer des fonds sans la signature de l'utilisateur, ce qui accorde la permission à un Smart Contract (Contrat Intelligent) de dépenser leurs tokens. Si une allocation est définie comme illimitée, un contrat malveillant ou compromis peut drainer les fonds jusqu'à épuisement du solde. 

Matcha Meta a déclaré que les utilisateurs qui ont interagi avec la plateforme en utilisant son système One-Time Approval n'ont pas été impactés. Cette fonctionnalité achemine les permissions de tokens via les contrats AllowanceHolder et Settler de 0x, limitant l'exposition d'un trader en accordant des approbations pour une seule transaction. 

"Après examen avec l'équipe de protocole de 0x, nous avons confirmé que la nature de l'incident n'était pas associée aux contrats AllowanceHolder ou Settler de 0x", a écrit Matcha Meta sur X plus tard. La société a ajouté que les utilisateurs qui ont désactivé les One-Time Approvals et défini des allocations directes sur les contrats d'agrégateurs "assument les risques de chaque agrégateur."

La plateforme de swap DEX (échanges décentralisées) a supprimé la fonction permettant aux utilisateurs de définir des allocations directes sur les agrégateurs via son interface, tout en demandant à la communauté de révoquer toutes les permissions existantes sur le contrat routeur de SwapNet. 

Les piratages de Smart Contracts (Contrats Intelligents) DeFi / Finance Décentralisée persistent en 2026

L'incident de Matcha Meta survient seulement six jours après que Makina Finance, un protocole de finance décentralisée avec des fonctionnalités d'exécution automatisée, ait subi une faille de réseau qui a drainé son pool de liquidité DUSD/USDC sur Curve.

Comme rapporté par Cryptopolitan, les pirates ont extrait environ 1 299 Ether du pool de Stablecoin Curve de Makina, d'une valeur de 4,13 millions de dollars à l'époque. La faille impliquait des fournisseurs de liquidité non dépositaires connectés à un oracle de prix on-chain, un flux de Données on-chain utilisé par les Smart Contracts (Contrats Intelligents) pour déterminer les valeurs d'actifs. 

Selon la société d'analyse blockchain Elliptic, une grande partie du blanchiment d'argent sur le dark web actuel implique des services de swap de pièces, y compris des échanges instantanés qui fonctionnent via des sites Web autonomes ou des canaux Telegram.

L'année dernière, l'agrégateur d'échanges décentralisés CoWSwap a signalé une faille qui a entraîné des pertes de plus de 180 000 dollars. Environ 180 000 dollars de DAI ont été volés via le Smart Contract (Contrat Intelligent) d'exécution de transactions GPv2Settlement de CoWSwap.

La plateforme a déclaré que le contrat compromis n'avait accès qu'aux frais de protocole collectés sur une semaine, découlant de l'exploitation d'un compte solveur. Dans le modèle de CoWSwap, les utilisateurs signent des intentions de transaction qui sont transmises à des solveurs tiers, qui se font concurrence pour fournir les meilleurs prix et stocker les frais collectés.

Les esprits crypto les plus brillants lisent déjà notre newsletter. Vous voulez en faire partie ? Rejoignez-les.