SwapNet, un aggregatore di exchange decentralizzati, ha perso circa 13,43 milioni di dollari in asset in criptovalute dopo che gli aggressori hanno sfruttato un router contract compromesso a cui erano state concesse approvazioni permanenti di token dagli utenti che avevano disattivato una funzione di sicurezza chiave.
Cosa è successo: exploit di un DEX aggregator
La società di sicurezza PeckShield reported l’attacco, che ha preso di mira attività collegate a SwapNet accessibili tramite Matcha Meta, un meta DEX aggregator costruito dal team di 0x. La vulnerabilità ha colpito gli utenti che avevano rinunciato al sistema di One-Time Approval di 0x, concedendo permessi diretti ai contratti di aggregazione sottostanti.
Sulla rete Base, l’attaccante ha convertito circa 10,5 milioni di dollari in USDC (USDC) in circa 3.655 Ether (ETH) prima di trasferire i fondi su Ethereum (ETH).
Questa manovra è una tattica comune utilizzata per complicare le attività di tracciamento.
«Siamo a conoscenza di un incidente con SwapNet a cui gli utenti potrebbero essere stati esposti su Matcha Meta, per quelli che hanno disattivato le One-Time Approvals», ha dichiarato Matcha Meta in un comunicato. La piattaforma ha identificato il router contract di SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) come l’approvazione più urgente da revocare per gli utenti.
Also Read: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
Perché è importante: vulnerabilità DeFi persistenti
L’incidente evidenzia una tensione fondamentale nella finanza decentralizzata tra convenienza e sicurezza. Le One-Time Approvals richiedono che gli utenti autorizzino ogni transazione singolarmente, riducendo le superfici di attacco persistenti ma aggiungendo attrito per i trader frequenti. Le approvazioni illimitate offrono velocità al costo di concedere ai contratti smart accesso continuo ai fondi degli utenti.
SwapNet non ha pubblicato un’analisi tecnica dell’accaduto né ha indicato se gli utenti colpiti riceveranno un risarcimento.
Nello stesso giorno, l’auditor di sicurezza Pashov ha segnalato un exploit separato sulla mainnet di Ethereum che coinvolge circa 37 WBTC (WBTC), per un valore di oltre 3,1 milioni di dollari, collegato a un contratto closed-source e non verificato distribuito solo 41 giorni prima.
Circa un mese fa la community DeFi è stata scossa dall’hack di Trust Wallet.
Trust Wallet confirmed that approximately $7 million in cryptocurrency was stolen attraverso un aggiornamento compromesso dell’estensione del browser. La violazione ha interessato solo la versione 2.68 dell’estensione Chrome, rilasciata il 24 dicembre. Fortunatamente, gli utenti del wallet mobile non sono stati colpiti. Changpeng Zhao, fondatore di Binance, che possiede Trust Wallet, ha dichiarato che il wallet avrebbe risarcito tutti gli utenti colpiti.
Aggiornato il 27 gennaio per riflettere le cifre corrette sulle perdite degli utenti dovute all’exploit, sulla base dei nuovi data pubblicati da Matcha.
Read Next: Why Are Whales Buying Seeker While Smart Money Sells?