SwapNet, un agrégateur d’échange décentralisé, a perdu environ 16,8 millions de dollars d’actifs en cryptomonnaies après que des attaquants ont exploité un contrat de routeur compromis auquel les utilisateurs avaient accordé des autorisations de jetons persistantes en désactivant une fonctionnalité de sécurité clé.
Ce qui s’est passé : faille sur un agrégateur de DEX
La société de sécurité PeckShield reported l’attaque, qui a visé l’activité liée à SwapNet accessible via Matcha Meta, un méta‑agrégateur de DEX développé par l’équipe de 0x. La vulnérabilité a touché les utilisateurs qui avaient désactivé le système d’« autorisation unique » (One-Time Approval) de 0x, accordant des permissions directes aux contrats d’agrégation sous‑jacents.
Sur le réseau Base, l’attaquant a converti environ 10,5 millions de dollars en USDC (USDC) en approximativement 3 655 Ether (ETH) avant de transférer les fonds vers Ethereum (ETH).
Cette manœuvre est une tactique courante utilisée pour compliquer les efforts de traçage.
« Nous sommes au courant d’un incident impliquant SwapNet auquel certains utilisateurs de Matcha Meta ayant désactivé les autorisations uniques ont pu être exposés », a déclaré Matcha Meta dans un communiqué. La plateforme a identifié le contrat de routeur de SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) comme l’autorisation la plus urgente que les utilisateurs doivent révoquer.
À lire aussi : South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
Pourquoi c’est important : des vulnérabilités DeFi persistantes
L’incident met en évidence une tension fondamentale dans la finance décentralisée entre la commodité et la sécurité. Les autorisations uniques obligent les utilisateurs à valider chaque transaction individuellement, ce qui réduit la surface d’attaque persistante mais ajoute de la friction pour les traders fréquents. Les autorisations illimitées offrent de la rapidité au prix d’un accès continu des contrats intelligents aux fonds des utilisateurs.
SwapNet n’a pas encore publié de rapport technique post‑mortem ni indiqué si les utilisateurs affectés seront dédommagés.
Le même jour, l’auditeur de sécurité Pashov a signalé une autre faille sur le mainnet Ethereum impliquant environ 37 WBTC (WBTC), d’une valeur de plus de 3,1 millions de dollars, liée à un contrat fermé et non vérifié déployé seulement 41 jours plus tôt.
Il y a environ un mois, la communauté DeFi a été choquée par le piratage de Trust Wallet.
Trust Wallet confirmed that approximately $7 million in cryptocurrency was stolen via une mise à jour compromise de l’extension de navigateur. La faille a uniquement touché la version 2.68 de l’extension Chrome, publiée le 24 décembre. Heureusement, les utilisateurs de l’application mobile n’ont pas été affectés. Changpeng Zhao, fondateur de Binance, propriétaire de Trust Wallet, a déclaré que le portefeuille indemniserait tous les utilisateurs concernés.
À lire ensuite : Why Are Whales Buying Seeker While Smart Money Sells?