SwapNet, ein dezentraler DEX-Aggregator, hat rund 13,43 Millionen US-Dollar in Krypto-Assets verloren, nachdem Angreifer einen kompromittierten Router-Contract ausnutzten, dem von Nutzern dauerhafte Token-Freigaben erteilt worden waren, die eine wichtige Sicherheitsfunktion deaktiviert hatten.
Was passiert ist: Exploit eines DEX-Aggregators
Das Sicherheitsunternehmen PeckShield reported den Angriff, der sich gegen SwapNet-bezogene Aktivitäten richtete, die über Matcha Meta, einen von dem 0x-Team entwickelten Meta-DEX-Aggregator, zugänglich waren. Die Schwachstelle betraf Nutzer, die sich gegen das One-Time-Approval-System von 0x entschieden hatten und damit den zugrunde liegenden Aggregator-Contracts direkte Berechtigungen erteilten.
Im Base-Netzwerk wandelte der Angreifer ungefähr 10,5 Millionen US-Dollar in USDC (USDC) in etwa 3.655 Ether (ETH) um, bevor er die Gelder zu Ethereum (ETH) bridgte.
Dieses Vorgehen ist eine gängige Taktik, um Nachverfolgungsbemühungen zu erschweren.
„Wir sind uns eines Vorfalls mit SwapNet bewusst, dem Nutzer auf Matcha Meta ausgesetzt gewesen sein könnten, wenn sie One-Time Approvals deaktiviert haben“, erklärte Matcha Meta in einer Stellungnahme. Die Plattform identifizierte den Router-Contract von SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) als die dringendste Freigabe, die Nutzer widerrufen sollten.
Auch lesen: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
Warum das wichtig ist: Anhaltende DeFi-Schwachstellen
Der Vorfall unterstreicht einen grundlegenden Zielkonflikt im dezentralen Finanzwesen zwischen Komfort und Sicherheit. One-Time Approvals erfordern, dass Nutzer jede Transaktion einzeln autorisieren, was die Angriffsfläche für dauerhafte Risiken verringert, aber für Vieltrader Reibung erzeugt. Unbegrenzte Freigaben bieten Geschwindigkeit, kosten aber den Vorteil, dass Smart Contracts dauerhaften Zugriff auf Nutzergelder erhalten.
SwapNet hat bislang weder eine technische Analyse veröffentlicht noch angegeben, ob betroffene Nutzer entschädigt werden.
Am selben Tag meldete der Sicherheitsprüfer Pashov einen separaten Exploit im Ethereum-Mainnet, bei dem etwa 37 WBTC (WBTC) im Wert von über 3,1 Millionen US-Dollar betroffen waren, die mit einem Closed-Source-, nicht verifizierten Contract in Verbindung standen, der erst 41 Tage zuvor deployt worden war.
Vor etwa einem Monat wurde die DeFi-Community vom Trust-Wallet-Hack erschüttert.
Trust Wallet confirmed that approximately $7 million in cryptocurrency was stolen durch ein kompromittiertes Browser-Extension-Update. Der Vorfall betraf nur Version 2.68 der Chrome-Erweiterung, die am 24. Dezember veröffentlicht wurde. Glücklicherweise blieben mobile Wallet-Nutzer unbeeinträchtigt. Changpeng Zhao, Gründer von Binance, dem Eigentümer von Trust Wallet, erklärte, die Wallet werde alle betroffenen Nutzer entschädigen.
Aktualisiert am 27. Januar, um korrigierte Zahlen zu Verlusten der Nutzer durch den Exploit widerzuspiegeln, basierend auf neu veröffentlichten data von Matcha.
Als Nächstes lesen: Why Are Whales Buying Seeker While Smart Money Sells?