SwapNet, un agrégateur d’échanges décentralisés, a perdu environ 13,43 millions de dollars d’actifs en cryptomonnaies après que des attaquants ont exploité un contrat de routeur compromis auquel des utilisateurs avaient accordé des autorisations de jetons permanentes en désactivant une fonctionnalité de sécurité clé.
Ce qui s’est passé : exploitation d’un agrégateur de DEX
La société de sécurité PeckShield reported l’attaque, qui a ciblé l’activité liée à SwapNet accessible via Matcha Meta, un méta-agrégateur de DEX développé par l’équipe 0x. La vulnérabilité a touché les utilisateurs qui avaient choisi de ne pas utiliser le système de One-Time Approval de 0x, accordant ainsi des permissions directes aux contrats d’agrégation sous-jacents.
Sur le réseau Base, l’attaquant a converti environ 10,5 millions de dollars en USDC (USDC) en approximativement 3 655 Ether (ETH) avant de transférer les fonds vers Ethereum (ETH).
Cette manœuvre est une tactique courante utilisée pour compliquer les efforts de traçage.
« Nous sommes au courant d’un incident avec SwapNet auquel les utilisateurs ont pu être exposés sur Matcha Meta, pour ceux qui ont désactivé les One-Time Approvals », a déclaré Matcha Meta dans un communiqué. La plateforme a identifié le contrat de routeur de SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) comme l’approbation la plus urgente que les utilisateurs devaient révoquer.
À lire aussi : South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
Pourquoi c’est important : vulnérabilités DeFi persistantes
L’incident met en évidence une tension fondamentale dans la finance décentralisée entre commodité et sécurité. Les One-Time Approvals obligent les utilisateurs à autoriser chaque transaction individuellement, ce qui réduit les surfaces d’attaque persistantes mais ajoute de la friction pour les traders fréquents. Les autorisations illimitées offrent plus de rapidité au prix d’un accès permanent des contrats intelligents aux fonds des utilisateurs.
SwapNet n’a pas publié de rapport technique détaillé ni indiqué si les utilisateurs affectés seront indemnisés.
Le même jour, l’auditeur de sécurité Pashov a signalé une autre exploitation sur le réseau principal d’Ethereum impliquant environ 37 WBTC (WBTC), d’une valeur de plus de 3,1 millions de dollars, liée à un contrat fermé et non vérifié déployé seulement 41 jours plus tôt.
Il y a environ un mois, la communauté DeFi a été choquée par le piratage de Trust Wallet.
Trust Wallet confirmed that approximately $7 million in cryptocurrency was stolen via une mise à jour compromise de son extension de navigateur. La faille n’a touché que la version 2.68 de l’extension Chrome, publiée le 24 décembre. Heureusement, les utilisateurs du portefeuille mobile n’ont pas été affectés. Changpeng Zhao, fondateur de Binance, propriétaire de Trust Wallet, a déclaré que le portefeuille indemniserait tous les utilisateurs touchés.
Mise à jour du 27 janvier pour refléter les chiffres corrigés des pertes des utilisateurs liées à l’exploit, sur la base de nouvelles data publiées par Matcha.
À lire ensuite : Why Are Whales Buying Seeker While Smart Money Sells?