SwapNet, un agregador de exchange descentralizado, perdió aproximadamente 13,43 millones de dólares en criptoactivos después de que atacantes explotaran un contrato enrutador comprometido al que los usuarios habían otorgado aprobaciones de tokens persistentes tras desactivar una función de seguridad clave.
Qué pasó: explotación a un agregador DEX
La firma de seguridad PeckShield reported el ataque, que tuvo como objetivo actividad vinculada a SwapNet accesible a través de Matcha Meta, un meta agregador DEX construido por el equipo de 0x. La vulnerabilidad afectó a usuarios que habían optado por no utilizar el sistema de One-Time Approval de 0x, otorgando permisos directos a los contratos de los agregadores subyacentes.
En la red Base, el atacante convirtió aproximadamente 10,5 millones de dólares en USDC (USDC) en cerca de 3.655 Ether (ETH) antes de puentear los fondos a Ethereum (ETH).
Esta maniobra es una táctica común utilizada para complicar los esfuerzos de rastreo.
«Somos conscientes de un incidente con SwapNet al que los usuarios pueden haberse visto expuestos en Matcha Meta, para aquellos que desactivaron las One-Time Approvals», dijo Matcha Meta en un comunicado. La plataforma identificó el contrato enrutador de SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) como la aprobación más urgente que los usuarios debían revocar.
También lea: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
Por qué importa: vulnerabilidades persistentes en DeFi
El incidente pone de relieve una tensión fundamental en las finanzas descentralizadas entre comodidad y seguridad. Las One-Time Approvals requieren que los usuarios autoricen cada transacción de forma individual, lo que reduce la superficie de ataque persistente pero añade fricción para los traders frecuentes. Las aprobaciones ilimitadas ofrecen rapidez a costa de otorgar a los contratos inteligentes acceso continuo a los fondos de los usuarios.
SwapNet no ha publicado aún un informe técnico pormenorizado ni ha indicado si los usuarios afectados recibirán compensación.
Ese mismo día, el auditor de seguridad Pashov señaló una explotación distinta en la red principal de Ethereum que implicaba alrededor de 37 WBTC (WBTC), por un valor de más de 3,1 millones de dólares, vinculada a un contrato de código cerrado y no verificado desplegado apenas 41 días antes.
Hace aproximadamente un mes, la comunidad DeFi se vio sacudida por el hackeo de Trust Wallet.
Trust Wallet confirmed that approximately $7 million in cryptocurrency was stolen a través de una actualización comprometida de su extensión de navegador. La brecha afectó solo a la versión 2.68 de la extensión de Chrome, que se lanzó el 24 de diciembre. Afortunadamente, los usuarios de la billetera móvil no se vieron afectados. Changpeng Zhao, fundador de Binance, propietaria de Trust Wallet, afirmó que la billetera compensaría a todos los usuarios afectados.
Actualizado el 27 de enero para reflejar las cifras corregidas de las pérdidas de los usuarios por la explotación, basadas en data publicada recientemente por Matcha.
Lea también: Why Are Whales Buying Seeker While Smart Money Sells?