Matcha Meta Conferma l'Hack Dopo una Perdita di 16,8 Milioni di Dollari

La piattaforma di aggregazione di swap e bridge costruita da 0x, Matcha Meta, ha perso 16,8 milioni di dollari in asset digitali a causa di una violazione della sicurezza di SwapNet, secondo la piattaforma di sicurezza Web3 PeckShield.

Matcha Meta ha rivelato lunedì di aver subito un exploit di sicurezza durante il fine settimana, in cui gli aggressori hanno sottratto token da un aggregatore esterno integrato nell'interfaccia di Matcha Meta chiamato SwapNet. La piattaforma ha dichiarato che gli utenti che hanno disabilitato la funzione "One-Time Approvals" e concesso permessi diretti sui token ai singoli aggregatori erano a rischio di perdere i propri fondi.

Nella dichiarazione dell'aggregatore di swap su X, MM ha affermato di essere venuta a conoscenza di attività sospette dopo la comparsa nei registri transazionali di record di grandi movimenti di token non autorizzati dal contratto router di SwapNet. La piattaforma ha confermato di aver contattato il team di SwapNet, che ha "temporaneamente disabilitato i suoi contratti" per prevenire ulteriori perdite. 

L'hacker di Matcha Meta ha scambiato 3.000 monete Ether dalle vittime

Secondo l'azienda di sicurezza blockchain PeckShield, l'aggressore ha drenato i fondi tramite approvazioni e swap di token. Ha spostato circa 10,5 milioni di USDC dagli indirizzi delle vittime su Base, una blockchain Ether layer-2, poi ha scambiato le stablecoin per 3.655 Ether, consolidando il valore in un asset più liquido.

Dopo aver completato gli swap, l'aggressore ha iniziato a trasferire gli Ether da Base alla mainnet Ethereum per nascondere qualsiasi traccia delle transazioni. Il bridging è il processo di trasferimento di asset tra blockchain utilizzando smart contract o protocolli intermediari. Sebbene sia considerato "legittimo" nella maggior parte dei casi, gli hacker lo utilizzano perché rende quasi impossibile tracciare le loro operazioni.

L'autore aveva precedentemente concesso autorizzazioni sui token per spostare fondi senza la firma dell'utente, che concede il permesso a uno smart contract di spendere i loro token. Se un'autorizzazione è impostata su illimitata, un contratto dannoso o compromesso può drenare i fondi fino all'esaurimento del saldo. 

Matcha Meta ha dichiarato che gli utenti che hanno interagito con la piattaforma utilizzando il suo sistema One-Time Approval non sono stati colpiti. Quella funzione instrada i permessi sui token attraverso i contratti AllowanceHolder e Settler di 0x, limitando l'esposizione di un trader concedendo approvazioni per una singola transazione. 

"Dopo aver esaminato con il team del protocollo di 0x, abbiamo confermato che la natura dell'incidente non era associata ai contratti AllowanceHolder o Settler di 0x," ha scritto Matcha Meta su X successivamente. L'azienda ha aggiunto che gli utenti che hanno disabilitato le One-Time Approvals e impostato autorizzazioni dirette sui contratti aggregatori "si assumono i rischi di ciascun aggregatore."

La piattaforma di swap DEX ha rimosso la funzione per gli utenti di impostare autorizzazioni dirette sugli aggregatori attraverso la sua interfaccia, chiedendo allo stesso tempo alla community di revocare eventuali permessi esistenti sul contratto router di SwapNet. 

Gli hack degli smart contract DeFi persistono nel 2026

L'incidente di Matcha Meta arriva solo sei giorni dopo che Makina Finance, un protocollo di finanza decentralizzata con funzionalità di esecuzione automatizzata, ha subito una violazione della rete che ha drenato il suo pool di liquidità DUSD/USDC su Curve.

Come riportato da Cryptopolitan, gli hacker hanno estratto circa 1.299 Ether dal pool di stablecoin Curve di Makina, del valore di 4,13 milioni di dollari al momento. La violazione ha coinvolto fornitori di liquidità non custodial collegati a un oracolo di pricing on-chain, un feed di dati utilizzato dagli smart contract per determinare i valori degli asset. 

Secondo l'azienda di analisi blockchain Elliptic, gran parte del riciclaggio di denaro del dark web odierno coinvolge servizi di swap di monete, inclusi exchange istantanei che operano attraverso siti web autonomi o canali Telegram.

L'anno scorso, l'aggregatore di exchange decentralizzati CoWSwap ha segnalato una violazione che ha causato perdite superiori a 180.000 dollari. Circa 180.000 dollari in DAI sono stati rubati attraverso lo smart contract di esecuzione delle transazioni GPv2Settlement di CoWSwap.

La piattaforma ha dichiarato che il contratto compromesso aveva accesso solo alle commissioni del protocollo raccolte nell'arco di una settimana, derivanti dallo sfruttamento di un account solver. Nel modello di CoWSwap, gli utenti firmano intenzioni di trading che vengono passate a solver di terze parti, che competono per fornire i migliori prezzi e conservare le commissioni raccolte.

Le menti crypto più intelligenti leggono già la nostra newsletter. Vuoi unirti? Entra anche tu.