SwapNet, ein dezentraler Exchange-Aggregator, verlor rund 16,8 Millionen US-Dollar in Krypto-Assets, nachdem Angreifer einen kompromittierten Router-Contract ausnutzten, dem von Nutzern dauerhafte Token-Freigaben erteilt worden waren, die ein zentrales Sicherheitsfeature deaktiviert hatten.
Was ist passiert: DEX-Aggregator-Exploit
Die Sicherheitsfirma PeckShield reported den Angriff, der sich gegen SwapNet-bezogene Aktivitäten richtete, die über Matcha Meta zugänglich waren, einen Meta-DEX-Aggregator, der vom 0x-Team entwickelt wurde. Die Schwachstelle betraf Nutzer, die sich gegen das One-Time-Approval-System von 0x entschieden hatten und damit den zugrunde liegenden Aggregator-Contracts direkte Berechtigungen erteilten.
Im Base-Netzwerk wandelte der Angreifer etwa 10,5 Millionen USDC (USDC) in ungefähr 3.655 Ether (ETH) um, bevor er die Gelder zu Ethereum (ETH) bridgte.
Dieses Vorgehen ist eine gängige Taktik, um Nachverfolgungsbemühungen zu erschweren.
„Wir sind uns eines Vorfalls mit SwapNet bewusst, dem Nutzer auf Matcha Meta ausgesetzt gewesen sein könnten, wenn sie One-Time Approvals deaktiviert haben“, erklärte Matcha Meta in einem Statement. Die Plattform identifizierte den Router-Contract von SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) als die dringendste Freigabe, die Nutzer widerrufen sollten.
Also Read: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
Warum das wichtig ist: Anhaltende DeFi-Schwachstellen
Der Vorfall unterstreicht einen grundlegenden Zielkonflikt im dezentralen Finanzwesen zwischen Komfort und Sicherheit. One-Time Approvals erfordern, dass Nutzer jede Transaktion einzeln autorisieren, was die Angriffsfläche für dauerhafte Zugriffe reduziert, jedoch für Vieltrader zusätzliche Reibung erzeugt. Unbegrenzte Freigaben bieten Geschwindigkeit auf Kosten des Risikos, Smart Contracts fortlaufenden Zugriff auf Nutzergelder zu gewähren.
SwapNet hat bisher weder eine technische Analyse veröffentlicht noch angegeben, ob betroffene Nutzer entschädigt werden.
Am selben Tag meldete der Sicherheitsprüfer Pashov einen separaten Exploit im Ethereum-Mainnet, der rund 37 WBTC (WBTC) im Wert von über 3,1 Millionen US-Dollar betraf und mit einem Closed-Source-, nicht verifizierten Contract in Verbindung stand, der erst vor 41 Tagen deployt worden war.
Vor etwa einem Monat war die DeFi-Community schockiert durch den Trust-Wallet-Hack.
Trust Wallet confirmed that approximately $7 million in cryptocurrency was stolen durch ein kompromittiertes Browser-Extension-Update. Der Vorfall betraf ausschließlich Version 2.68 der Chrome-Erweiterung, die am 24. Dezember veröffentlicht wurde. Glücklicherweise blieben Mobile-Wallet-Nutzer unbetroffen. Changpeng Zhao, Gründer von Binance, dem Eigentümer von Trust Wallet, erklärte, die Wallet werde alle betroffenen Nutzer entschädigen.
Read Next: Why Are Whales Buying Seeker While Smart Money Sells?