Matcha Meta подтверждает взлом после потери $16,8 млн

Платформа агрегации свопов и мостов, созданная 0x, Matcha Meta, потеряла $16,8 млн в цифровых активах из-за нарушения безопасности SwapNet, согласно платформе безопасности Web3 PeckShield.

Matcha Meta сообщила в понедельник, что пострадала от эксплойта безопасности в выходные, когда злоумышленники похитили токены из внешнего агрегатора, интегрированного в интерфейс Matcha Meta, под названием SwapNet. Платформа заявила, что пользователи, которые отключили функцию "Одноразовые одобрения" и предоставили прямые разрешения на токены отдельным агрегаторам, подвергались риску потери своих средств.

В заявлении агрегатора свопов на X, MM сообщила, что узнала о подозрительной активности после того, как в транзакционных записях появились записи о больших несанкционированных движениях токенов из контракта маршрутизатора SwapNet. Платформа подтвердила, что связалась с командой SwapNet, которая "временно отключила свои контракты", чтобы предотвратить дальнейшие потери. 

Хакер Matcha Meta обменял 3 тыс. монет Ether у жертв

Согласно фирме по безопасности блокчейна PeckShield, злоумышленник вывел средства через одобрения токенов и свопы. Они переместили приблизительно 10,5 млн USDC с адресов жертв в Base, блокчейне второго уровня Ether, затем обменяли стейблкоины на 3 655 Ether, консолидируя стоимость в более ликвидный актив.

После завершения свопов злоумышленник начал переводить Ether из Base в основную сеть Ethereum, чтобы скрыть любые следы транзакций. Перевод через мост - это процесс передачи активов между блокчейнами с использованием смарт-контрактов или промежуточных протоколов. Хотя это считается "легитимным" в большинстве случаев, хакеры используют это, потому что это делает практически невозможным отслеживание их операций.

Злоумышленник ранее предоставил разрешения на токены для перемещения средств без подписи пользователя, что дает разрешение смарт-контракту тратить их токены. Если разрешение установлено как неограниченное, вредоносный или скомпрометированный контракт может выводить средства до тех пор, пока баланс не будет исчерпан. 

Matcha Meta заявила, что пользователи, которые взаимодействовали с платформой, используя ее систему одноразовых одобрений, не пострадали. Эта функция направляет разрешения на токены через контракты AllowanceHolder и Settler от 0x, ограничивая риск трейдера путем предоставления одобрений для одной транзакции. 

"После рассмотрения с командой протокола 0x мы подтвердили, что характер инцидента не был связан с контрактами AllowanceHolder или Settler от 0x", - написала Matcha Meta на X позже. Компания добавила, что пользователи, которые отключили одноразовые одобрения и установили прямые разрешения на контракты агрегаторов, "принимают на себя риски каждого агрегатора".

Платформа децентрализованных бирж удалила функцию для пользователей устанавливать прямые разрешения на агрегаторы через свой интерфейс, одновременно попросив сообщество отозвать любые существующие разрешения на контракт маршрутизатора SwapNet. 

Взломы смарт-контрактов DeFi продолжаются в 2026 году

Инцидент с Matcha Meta произошел всего через шесть дней после того, как Makina Finance, протокол децентрализованных финансов с функциями автоматического исполнения, пострадал от взлома сети, который истощил его пул ликвидности DUSD/USDC на Curve.

Как сообщается Cryptopolitan, хакеры извлекли около 1 299 Ether из пула стейблкоинов Curve компании Makina, стоимостью $4,13 млн на тот момент. Взлом затронул некастодиальных поставщиков ликвидности, подключенных к ценовому оракулу на цепочке, каналу данных, используемому смарт-контрактами для определения стоимости активов. 

По данным аналитической фирмы блокчейна Elliptic, большая часть сегодняшнего отмывания денег в даркнете включает сервисы обмена монет, включая мгновенные обменники, которые работают через отдельные веб-сайты или каналы Telegram.

В прошлом году агрегатор децентрализованных бирж CoWSwap сообщил о взломе, который привел к потерям более $180 000. Около $180 000 в DAI было украдено через смарт-контракт исполнения сделок GPv2Settlement CoWSwap.

Платформа заявила, что скомпрометированный контракт имел доступ только к комиссиям протокола, собранным за одну неделю, вытекающим из эксплуатации учетной записи решателя. В модели CoWSwap пользователи подписывают намерения на торговлю, которые передаются сторонним решателям, которые конкурируют за предоставление лучших цен и хранят собранные комиссии.

Самые умные криптоумы уже читают нашу рассылку. Хотите присоединиться? Присоединяйтесь к ним.