SwapNetは分散型取引所(DEX)アグリゲーターであり、重要なセキュリティ機能を無効化していたユーザーから、永続的なトークン承認が付与されていた侵害済みルーターコントラクトを攻撃者に悪用され、暗号資産を約1,343万ドル失った。
何が起きたのか:DEXアグリゲーターの悪用
セキュリティ企業PeckShieldは、この攻撃について報告しており、0xチームが構築したメタDEXアグリゲーターであるMatcha Metaを通じてアクセス可能な、SwapNet関連のアクティビティが標的になったと説明している。脆弱性は、0xのOne-Time Approvalシステムをオプトアウトし、基盤となるアグリゲーターコントラクトに直接権限を与えていたユーザーに影響した。
Baseネットワーク上で攻撃者は、およそ1,050万ドル相当のUSDC (USDC) を約3,655 Ether (ETH) に交換した後、資金をEthereum (ETH) へブリッジした。
この手口は、追跡を困難にするためによく使われる典型的な戦略だ。
「One-Time ApprovalsをオフにしたユーザーがMatcha Meta上で直面しうるSwapNetに関するインシデントを認識しています」とMatcha Metaは声明で述べた。同プラットフォームは、ユーザーが最優先で承認を取り消すべきアドレスとして、SwapNetのルーターコントラクト(0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e)を特定した。
関連記事: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
なぜ重要か:DeFiに残る恒常的な脆弱性
このインシデントは、分散型金融(DeFi)における「利便性」と「セキュリティ」の根源的な対立を浮き彫りにしている。One-Time Approvalsは、ユーザーが取引ごとに個別承認する必要があり、継続的な攻撃面を減らせる一方で、頻繁に取引するトレーダーにとっては手間が増える。無制限承認は処理の速さをもたらすが、その代償としてスマートコントラクトにユーザー資金への継続的アクセスを与えてしまう。
SwapNetは、技術的なポストモーテム(事後分析)をまだ公開しておらず、被害ユーザーへの補償の有無についても明らかにしていない。
同じ日に、セキュリティ監査人のPashovは、約37 WBTC (WBTC)、3,100万ドル超に相当する資金が関与した、別のEthereumメインネットでの悪用を指摘した。これは、わずか41日前にデプロイされたクローズドソースかつ未検証のコントラクトに関連していた。
約1か月前、DeFiコミュニティはTrust Walletのハッキングに衝撃を受けた。
Trust Walletは、約700万ドル相当の暗号資産が盗まれたことを確認した。原因は、改ざんされたブラウザー拡張アップデートであり、影響を受けたのは12月24日にリリースされたChrome拡張のバージョン2.68のみだった。幸いにも、モバイルウォレットのユーザーは影響を受けなかった。Trust Walletを所有するBinance創業者のChangpeng Zhaoは、被害を受けたすべてのユーザーに補償を行うと述べた。
1月27日、Matchaから新たに公開されたデータに基づき、ユーザー損失額の修正値を反映するよう更新。