SwapNet, een gedecentraliseerde exchange-aggregator, verloor ongeveer $13,43 miljoen aan crypto-assets nadat aanvallers een gecompromitteerd routercontract uitbuitten dat blijvende token‑toestemmingen had gekregen van gebruikers die een belangrijke beveiligingsfunctie hadden uitgeschakeld.
Wat er gebeurde: DEX‑aggregator‑exploit
Securitybedrijf PeckShield reported de aanval, die zich richtte op aan SwapNet gelinkte activiteiten die toegankelijk waren via Matcha Meta, een meta‑DEX‑aggregator gebouwd door het 0x‑team. De kwetsbaarheid trof gebruikers die hadden afgezien van het One-Time Approval‑systeem van 0x en zo directe permissies gaven aan onderliggende aggregatorcontracten.
Op het Base‑netwerk converteerde de aanvaller ongeveer $10,5 miljoen aan USDC (USDC) naar circa 3.655 Ether (ETH) voordat de fondsen werden overgebrugd naar Ethereum (ETH).
Deze werkwijze is een veelgebruikte tactiek om het traceren te bemoeilijken.
„We zijn ons bewust van een incident met SwapNet waaraan gebruikers kunnen zijn blootgesteld op Matcha Meta, voor degenen die One-Time Approvals hebben uitgeschakeld,” aldus Matcha Meta in een verklaring. Het platform identificeerde het routercontract van SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) als de meest urgente goedkeuring die gebruikers moeten intrekken.
Ook lezen: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
Waarom het belangrijk is: aanhoudende DeFi‑kwetsbaarheden
Het incident benadrukt een fundamentele spanning in decentralized finance tussen gebruiksgemak en veiligheid. One-Time Approvals vereisen dat gebruikers elke transactie afzonderlijk autoriseren, wat het aanvalsoppervlak verkleint maar extra frictie oplevert voor frequente traders. Onbeperkte goedkeuringen bieden snelheid, maar geven smartcontracts doorlopende toegang tot gebruikersfondsen.
SwapNet heeft nog geen technisch post‑mortem gepubliceerd en ook niet aangegeven of getroffen gebruikers compensatie zullen ontvangen.
Diezelfde dag signaleerde security‑auditor Pashov een afzonderlijke exploit op het Ethereum‑mainnet waarbij ongeveer 37 WBTC (WBTC), met een waarde van meer dan $3,1 miljoen, betrokken waren. Deze was gelinkt aan een closed‑source, niet‑geverifieerd contract dat slechts 41 dagen eerder was gedeployed.
Ongeveer een maand geleden werd de DeFi‑gemeenschap opgeschrikt door de hack van Trust Wallet.
Trust Wallet confirmed that approximately $7 million in cryptocurrency was stolen via een gecompromitteerde update van de browserextensie. De inbreuk trof alleen versie 2.68 van de Chrome‑extensie, die werd uitgebracht op 24 december. Mobiele wallet‑gebruikers bleven gelukkig buiten schot. Changpeng Zhao, oprichter van Binance, de eigenaar van Trust Wallet, zei dat de wallet alle getroffen gebruikers zou compenseren.
Bijgewerkt op 27 januari om gecorrigeerde cijfers over gebruikersverliezen door de exploit weer te geven, op basis van nieuw vrijgegeven data van Matcha.
Lees hierna: Why Are Whales Buying Seeker While Smart Money Sells?