Matcha Meta confirma ataque após perda de 16,8 milhões de dólares

A plataforma de agregação de swap e bridge construída pela 0x, Matcha Meta, perdeu 16,8 milhões de dólares em ativos digitais devido a uma violação de segurança da SwapNet, de acordo com a plataforma de segurança Web3 PeckShield.

A Matcha Meta divulgou na segunda-feira que sofreu uma exploração de segurança durante o fim de semana, onde os atacantes roubaram tokens de um agregador externo integrado na interface da Matcha Meta chamado SwapNet. A plataforma afirmou que os utilizadores que desativaram a funcionalidade "One-Time Approvals" e concederam permissões diretas de tokens a agregadores individuais estavam em risco de perder os seus fundos.

Na declaração do agregador de swap no X, a MM afirmou que tomou conhecimento de atividade suspeita após registos de movimentos de tokens grandes e não autorizados do contrato de roteamento da SwapNet aparecerem nos registos transacionais. A plataforma confirmou que contactou a equipa da SwapNet, que "desativou temporariamente os seus contratos" para prevenir mais perdas. 

Hacker da Matcha Meta trocou 3 mil moedas Ether das vítimas

De acordo com a empresa de segurança blockchain PeckShield, o atacante drenou fundos através de aprovações e trocas de tokens. Moveram aproximadamente 10,5 milhões de USDC de endereços de vítimas na Base, uma blockchain de camada-2 do Ether, depois trocaram as stablecoins por 3.655 Ether, consolidando o valor num ativo mais líquido.

Após completar as trocas, o atacante começou a fazer bridge do Ether da Base para a mainnet Ethereum para ocultar quaisquer rastros de transações. Bridge é o processo de transferir ativos entre blockchains usando contratos inteligentes ou protocolos intermediários. Embora seja considerado "legítimo" na maioria dos casos, os hackers usam-no porque torna quase impossível rastrear as suas operações.

O perpetrador havia previamente concedido permissões de tokens para mover fundos sem a assinatura do utilizador, o que concede permissão para um contrato inteligente gastar os seus tokens. Se uma permissão for definida como ilimitada, um contrato malicioso ou comprometido pode drenar fundos até que o saldo seja esgotado. 

A Matcha Meta afirmou que os utilizadores que interagiram com a plataforma usando o seu sistema One-Time Approval não foram afetados. Essa funcionalidade direciona as permissões de tokens através dos contratos AllowanceHolder e Settler da 0x, limitando a exposição de um trader ao conceder aprovações para uma única transação. 

"Após revisão com a equipa de protocolo da 0x, confirmámos que a natureza do incidente não estava associada aos contratos AllowanceHolder ou Settler da 0x," escreveu a Matcha Meta no X mais tarde. A empresa acrescentou que os utilizadores que desativaram as One-Time Approvals e definiram permissões diretas em contratos de agregadores "assumem os riscos de cada agregador."

A plataforma de swap DEX removeu a função para os utilizadores definirem permissões diretas em agregadores através da sua interface, enquanto pediu à comunidade para revogar quaisquer permissões existentes no contrato de roteamento da SwapNet. 

Hacks de contratos inteligentes DeFi persistem em 2026

O incidente da Matcha Meta ocorre apenas seis dias após a Makina Finance, um protocolo de finanças descentralizadas com funcionalidades de execução automatizada, sofrer uma violação de rede que drenou o seu pool de liquidez DUSD/USDC na Curve.

Como reportado pela Cryptopolitan, hackers extraíram cerca de 1.299 Ether do pool de stablecoin Curve da Makina, no valor de 4,13 milhões de dólares na altura. A violação envolveu fornecedores de liquidez não custodiais conectados a um oráculo de preços on-chain, um feed de dados usado por contratos inteligentes para determinar valores de ativos. 

Segundo a empresa de análise blockchain Elliptic, grande parte da lavagem de dinheiro na dark web atual envolve serviços de troca de moedas, incluindo exchanges instantâneas que funcionam através de websites autónomos ou canais Telegram.

No ano passado, o agregador de exchange descentralizada CoWSwap reportou uma violação que resultou em perdas de mais de 180.000 dólares. Cerca de 180.000 dólares em DAI foram roubados através do contrato inteligente de execução de negociação GPv2Settlement da CoWSwap.

A plataforma afirmou que o contrato comprometido tinha acesso apenas às taxas de protocolo recolhidas durante uma semana, decorrentes da exploração de uma conta solver. No modelo da CoWSwap, os utilizadores assinam intenções de negociação que são passadas a solvers terceiros, que competem para fornecer os melhores preços e armazenar as taxas recolhidas.

As mentes cripto mais inteligentes já leem a nossa newsletter. Quer participar? Junte-se a eles.