Matcha Meta пострадала от взлома смарт-контракта SwapNet на $16,8 млн

Введение
В воскресенье Matcha Meta сообщила о нарушении безопасности, связанном с одним из ее основных провайдеров ликвидности, SwapNet, которое затронуло пользователей, предоставивших разрешения контракту маршрутизатора SwapNet. Инцидент подчеркивает, как разрешенные компоненты в экосистемах децентрализованных бирж могут стать векторами атак, даже когда основная инфраструктура остается нетронутой. Ранние публичные оценки определяют убытки в диапазоне примерно от 13 $ млн до 17 $ млн, при этом он-чейн активность сосредоточена на сети Base и кросс-чейн движениях в сторону Ethereum. Раскрытие информации побудило пользователей отозвать разрешения и усилило контроль за тем, как смарт-контракты, открытые для внешних маршрутизаторов, защищаются.

Ключевые моменты

• Нарушение произошло через контракт маршрутизатора SwapNet, что привело к срочному призыву к пользователям отозвать разрешения для предотвращения дальнейших потерь.
• Оценки украденных средств различаются: CertiK сообщила о примерно 13,3 $ млн, в то время как PeckShield подсчитывает не менее 16,8 $ млн в сети Base.
• На Base злоумышленник обменял примерно 10,5 млн USDC на около 3 655 ETH и начал переводить средства на Ethereum.
• CertiK связала уязвимость с произвольным вызовом в контракте 0xswapnet, что позволило злоумышленнику переводить средства, уже одобренные для него.
• Matcha Meta указала, что проблема была связана с SwapNet, а не с собственной инфраструктурой, и представители пока не предоставили подробностей о компенсации или мерах безопасности.
• Слабые места смарт-контрактов продолжают оставаться основной причиной эксплойтов криптовалют, на них приходится 30,5% инцидентов в 2025 году, согласно годовому отчету о безопасности SlowMist.

Упомянутые тикеры

Упомянутые тикеры: Crypto → USDC, ETH, TRU

Настроение

Настроение: Нейтральное

Влияние на цену

Влияние на цену: Негативное. Нарушение подчеркивает текущие риски безопасности в DeFi и может повлиять на восприятие рисков, связанных с ответственным предоставлением ликвидности и управлением разрешениями.

Торговая идея (не является финансовым советом)

Торговая идея (не является финансовым советом): Держать. Инцидент специфичен для пути одобрения маршрутизатора и не подразумевает напрямую более широкий системный риск для всех протоколов DeFi, но он требует осторожности в отношении управления разрешениями и кросс-чейн ликвидности.

Рыночный контекст

Рыночный контекст: Событие происходит на фоне повышенного внимания к безопасности DeFi и кросс-чейн активности, где провайдеры ликвидности и агрегаторы все больше полагаются на модульные компоненты. Оно также происходит на фоне развивающихся дискуссий об он-чейн управлении, аудитах и необходимости надежных мер безопасности, поскольку протоколы голубых фишек и новые участники конкурируют за доверие пользователей.

Почему это важно

Почему это важно

Инциденты безопасности в агрегаторах DeFi иллюстрируют постоянные поверхности рисков, присутствующие при взаимодействии нескольких уровней протоколов. В данном случае нарушение было связано с уязвимостью в контракте маршрутизатора SwapNet, а не с основной архитектурой Matcha Meta, что подчеркивает, как доверие распределяется между партнерскими компонентами в компонуемой экосистеме. Для пользователей этот эпизод служит напоминанием регулярно проверять и отзывать одобрения токенов, особенно после подозрений в аномальной он-чейн активности.

Финансовое влияние, хотя и все еще развивается, подчеркивает важность тщательной проверки внешних провайдеров ликвидности и необходимость мониторинга потоков одобрений в реальном времени. Тот факт, что злоумышленники смогли конвертировать значительную часть украденных средств в стейблкоины, а затем перевести активы на Ethereum, подчеркивает кросс-чейн динамику, которая усложняет усилия по отслеживанию и возмещению после инцидента. Биржи и исследователи безопасности подчеркивают ценность детальных, ограниченных по времени областей разрешений и возможностей раннего отзыва для ограничения радиуса поражения таких эксплойтов.

С рыночной точки зрения, этот эпизод добавляется к более широкому повествованию о хрупкости беспермиссионных финансов и продолжающейся гонке за внедрение надежных, проверяемых мер безопасности на всех уровнях экосистем DeFi. Хотя это не является системным обвинением Matcha Meta, инцидент усиливает призывы к стандартизированным аудитам безопасности контрактов маршрутизаторов и более четкой ответственности за сторонние модули, которые взаимодействуют со средствами пользователей.

На что обратить внимание далее

На что обратить внимание далее

• Официальные обновления Matcha Meta о первопричине и любых планах по исправлению или компенсации для пострадавших пользователей.
• Любые внешние аудиты или сторонние проверки контракта маршрутизатора SwapNet и изменения в управлении для предотвращения повторения.
• Он-чейн мониторинг активности моста Base-Ethereum, связанной с этим инцидентом, и последующих движений средств.
• Регуляторные и отраслевые стандарты в области безопасности DeFi, особенно структуры аудита смарт-контрактов и контроля одобрений пользователей.

Источники и проверка

• Сообщение Matcha Meta в X с предупреждением пользователям отозвать одобрения SwapNet после нарушения.
• Консультация CertiK, идентифицирующая эксплойт как исходящий из произвольного вызова в контракте 0xswapnet, который позволил перевод одобренных средств.
• Обновление PeckShield с указанием примерно 16,8 $ млн, слитых на Base, включая обмен USDC на ETH и перевод на Ethereum.
• Годовой отчет SlowMist по безопасности блокчейна и AML за 2025 год, детализирующий долю инцидентов по категориям, включая 30,5%, связанных с уязвимостями смарт-контрактов, и 24% с компрометацией учетных записей.
• Освещение Cointelegraph инцидента Truebit, включая потери в 26 $ млн и снижение токена TRU, для более широкого контекста рисков смарт-контрактов.

Переписанное содержание статьи

Нарушение безопасности в Matcha Meta подчеркивает риски смарт-контрактов в экосистемах DEX

В последнем примере того, как DeFi может быть скомпрометирован изнутри, Matcha Meta раскрыла, что нарушение безопасности произошло через один из ее основных путей предоставления ликвидности — контракт маршрутизатора SwapNet. Последствием для пользователей стал отзыв одобрений токенов, на чем протокол явно настаивал в своем публичном сообщении. Нарушение, по-видимому, не исходило из основной инфраструктуры Matcha Meta, указала компания, а скорее из уязвимости на уровне маршрутизатора партнера, который предоставил разрешения на перемещение средств от имени пользователей.

Ранние оценки исследователей безопасности определяют финансовое воздействие в узком диапазоне. CertiK оценила потери примерно в 13,3 $ млн, в то время как PeckShield сообщила о более высокой минимальной цифре в 16,8 $ млн в сети Base. Расхождение отражает различные методы он-чейн учета и время пост-инцидентных проверок, но оба анализа подтверждают значительные потери, связанные с функциональностью маршрутизатора SwapNet. На Base злоумышленник, как сообщается, обменял примерно 10,5 млн USDC (CRYPTO: USDC) на примерно 3 655 ETH (CRYPTO: ETH) и начал переводить доходы на Ethereum, согласно бюллетеню PeckShield, опубликованному в X.

Оценка CertiK предоставляет техническое объяснение эксплойта: произвольный вызов в контракте 0xswapnet позволил злоумышленнику вывести средства, которые пользователи уже одобрили, фактически обойдя прямую кражу из пула ликвидности SwapNet и вместо этого использовав разрешения, предоставленные маршрутизатору. Это различие имеет значение, поскольку указывает на недостаток управления или дизайна на уровне интеграции, а не на нарушение собственной системы хранения или контроля безопасности Matcha Meta.

Matcha Meta признала, что проблема связана с SwapNet, и не приписала уязвимость собственной инфраструктуре. Попытки получить комментарии о механизмах компенсации или мерах безопасности не были немедленно возвращены, оставив пострадавших пользователей без четкого пути исправления в ближайшей перспективе. Инцидент иллюстрирует более широкий профиль риска для агрегаторов DEX: когда партнерства вводят новые интерфейсы контрактов, злоумышленники могут нацеливаться на разрешенные потоки, которые находятся на пересечении одобрений пользователей и автоматических переводов средств.

Более широкий ландшафт безопасности в криптовалютах остается упорно шатким. В 2025 году уязвимости смарт-контрактов были ведущей причиной криптоэксплойтов, на них приходилось 30,5% инцидентов и 56 общих событий, согласно годовому отчету SlowMist. Эта доля подчеркивает, как даже сложные проекты могут столкнуться с граничными ошибками или неправильными конфигурациями в коде, который управляет автоматическим переводом стоимости. Компрометация учетных записей и скомпрометированные социальные аккаунты (такие как X аккаунты жертв) также составили значительную часть инцидентов, подчеркивая многовекторную природу инструментария злоумышленников.

Помимо чисто технических аспектов, инцидент способствует растущему дискурсу об использовании искусственного интеллекта в безопасности смарт-контрактов. Отчеты за декабрь отметили, что коммерчески доступные ИИ-агенты обнаружили примерно 4,6 $ млн он-чейн эксплойтов в реальном времени, используя такие инструменты, как Claude Opus 4.5, Claude Sonnet 4.5 и GPT-5 от OpenAI. Появление методов зондирования и эксплуатации с помощью ИИ добавляет уровень сложности к оценке рисков для аудиторов и операторов. Этот развивающийся ландшафт угроз усиливает необходимость непрерывного мониторинга, быстрого отзыва разрешений и адаптивных защитных мер в экосистемах DeFi.

За две недели до инцидента SwapNet другая громкая уязвимость смарт-контракта привела к потерям в 26 $ млн для протокола Truebit, за которой последовала резкая ценовая реакция токена TRU (CRYPTO: TRU). Такие эпизоды подчеркивают тот факт, что уровень смарт-контрактов остается основной поверхностью атак для хакеров, даже несмотря на то, что другие области в криптосфере — хранение, централизованная инфраструктура и внецепочечные компоненты — также сталкиваются с постоянными угрозами. Повторяющаяся тема заключается в том, что контроль рисков должен выходить за рамки аудитов и баг-баунти, включая активное управление, мониторинг в реальном времени и разумные пользовательские практики в отношении одобрений и кросс-чейн движений.

Пока рынок усваивает последствия, наблюдатели подчеркивают, что путь к устойчивости в DeFi опирается на многоуровневые меры безопасности и прозрачное реагирование на инциденты. Хотя уязвимость SwapNet представляется изолированной для конкретной интеграции, инцидент подчеркивает центральный урок: даже надежные партнеры могут внести системный риск, если их контракты взаимодействуют со средствами пользователей способами, которые обходят стандартные меры безопасности. Он-чейн запись будет продолжать разворачиваться по мере того, как следователи, Matcha Meta и ее партнеры по ликвидности проводят криминалистические проверки и определяют, получат ли жертвы компенсацию или улучшения контроля рисков, которые могут предотвратить подобные инциденты в будущем.

Эта статья была первоначально опубликована как Matcha Meta Hit by 16,8 $ млн SwapNet Smart Contract Hack на Crypto Breaking News — вашем надежном источнике криптоновостей, новостей Bitcoin и обновлений блокчейна.