Matcha Meta potwierdza atak hakerski po stracie 16,8 mln USD

Platforma agregacji swapów i mostków zbudowana przez 0x, Matcha Meta, straciła 16,8 miliona dolarów w aktywach cyfrowych w wyniku naruszenia bezpieczeństwa SwapNet, według platformy bezpieczeństwa Web3 PeckShield.

Matcha Meta ujawniła w poniedziałek, że padła ofiarą exploitu bezpieczeństwa w weekend, gdzie atakujący wyłudzili tokeny z zewnętrznego agregatora zintegrowanego z interfejsem Matcha Meta o nazwie SwapNet. Platforma poinformowała, że użytkownicy, którzy wyłączyli funkcję "Jednorazowych Zatwierdzeń" i przyznali bezpośrednie uprawnienia do tokenów poszczególnym agregatorom, byli narażeni na utratę swoich środków.

W oświadczeniu agregatora swapów na X, MM poinformowało, że dowiedziało się o podejrzanej aktywności po tym, jak w zapisach transakcyjnych pojawiły się zapisy o dużych, nieautoryzowanych ruchach tokenów z kontraktu routera SwapNet. Platforma potwierdziła, że skontaktowała się z zespołem SwapNet, który "tymczasowo wyłączył swoje kontrakty", aby zapobiec dalszym stratom. 

Haker Matcha Meta wymienił 3 tysiące monet Ether od ofiar

Według firmy zajmującej się bezpieczeństwem blockchain PeckShield, atakujący wyprowadził środki za pośrednictwem zatwierdzeń tokenów i swapów. Przenieśli około 10,5 miliona USDC z adresów ofiar na Base, blockchainie warstwy 2 Ether, a następnie wymienili stablecoiny na 3 655 Ether, konsolidując wartość w bardziej płynny aktyw.

Po zakończeniu swapów atakujący rozpoczął przenoszenie Ether z Base do sieci głównej Ethereum, aby ukryć ślady transakcji. Bridging to proces przenoszenia aktywów między blockchainami za pomocą inteligentnych kontraktów lub pośrednich protokołów. Chociaż w większości przypadków jest uważany za "legalny", hakerzy używają go, ponieważ sprawia, że śledzenie ich operacji jest prawie niemożliwe.

Sprawca wcześniej przyznał limity tokenów do przenoszenia środków bez podpisu użytkownika, co daje uprawnienie inteligentnemu kontraktowi do wydawania ich tokenów. Jeśli limit jest ustawiony na nieograniczony, złośliwy lub skompromitowany kontrakt może wyprowadzić środki, dopóki saldo nie zostanie wyczerpane. 

Matcha Meta poinformowała, że użytkownicy, którzy wchodzili w interakcje z platformą za pomocą systemu Jednorazowego Zatwierdzania, nie zostali dotknięci. Ta funkcja kieruje uprawnienia tokenów przez kontrakty AllowanceHolder i Settler 0x, ograniczając ekspozycję tradera poprzez przyznawanie zatwierdzeń na pojedynczą transakcję. 

"Po przeglądzie z zespołem protokołu 0x potwierdziliśmy, że charakter incydentu nie był powiązany z kontraktami AllowanceHolder lub Settler 0x", napisała później Matcha Meta na X. Firma dodała, że użytkownicy, którzy wyłączyli Jednorazowe Zatwierdzenia i ustawili bezpośrednie limity na kontraktach agregatorów, "przyjmują ryzyko każdego agregatora".

Platforma swapów DEX usunęła funkcję umożliwiającą użytkownikom ustawianie bezpośrednich limitów na agregatorach przez swój interfejs, prosząc jednocześnie społeczność o cofnięcie wszelkich istniejących uprawnień na kontrakcie routera SwapNet. 

Hacki inteligentnych kontraktów DeFi utrzymują się w 2026 roku

Incydent Matcha Meta nastąpił zaledwie sześć dni po tym, jak Makina Finance, protokół zdecentralizowanych finansów z funkcjami automatycznego wykonywania, padł ofiarą naruszenia sieci, które wypróżniło jego pulę płynności DUSD/USDC na Curve.

Jak donosi Cryptopolitan, hakerzy wydobyli około 1 299 Ether z puli stablecoinów Curve Makina, o wartości 4,13 miliona dolarów w tamtym czasie. Naruszenie dotyczyło dostawców płynności bez przechowywania połączonych z wyrocznią cenową on-chain, kanałem danych używanym przez inteligentne kontrakty do określania wartości aktywów. 

Według firmy analitycznej blockchain Elliptic, znaczna część dzisiejszego prania pieniędzy w dark webie obejmuje usługi wymiany monet, w tym natychmiastowe giełdy działające przez samodzielne strony internetowe lub kanały Telegram.

W zeszłym roku agregator zdecentralizowanych giełd CoWSwap zgłosił naruszenie, które spowodowało straty przekraczające 180 000 dolarów. Około 180 000 dolarów w DAI zostało skradzionych przez inteligentny kontrakt wykonywania transakcji GPv2Settlement CoWSwap.

Platforma poinformowała, że skompromitowany kontrakt miał dostęp tylko do opłat protokołu zebranych w ciągu jednego tygodnia, wynikających z wykorzystania konta solvera. W modelu CoWSwap użytkownicy podpisują intencje transakcji, które są przekazywane solverom firm trzecich, konkurującym o zapewnienie najlepszych cen i przechowywanie zebranych opłat.

Najmądrzejsi umysły kryptowalutowe już czytają nasz newsletter. Chcesz dołączyć? Dołącz do nich.