SwapNet, een gedecentraliseerde exchange-aggregator, heeft ongeveer $16,8 miljoen aan cryptovaluta verloren nadat aanvallers misbruik maakten van een gecompromitteerd routercontract dat blijvende tokenmachtigingen had gekregen van gebruikers die een belangrijke veiligheidsfunctie hadden uitgeschakeld.
Wat er gebeurde: exploit op DEX-aggregator
Beveiligingsbedrijf PeckShield reported de aanval, die zich richtte op SwapNet-gerelateerde activiteiten die toegankelijk waren via Matcha Meta, een meta-DEX-aggregator gebouwd door het 0x-team. De kwetsbaarheid trof gebruikers die zich hadden afgemeld voor het One-Time Approval-systeem van 0x en zo directe machtigingen gaven aan onderliggende aggregatorcontracten.
Op het Base-netwerk zette de aanvaller ongeveer $10,5 miljoen aan USDC (USDC) om in circa 3.655 Ether (ETH) alvorens de fondsen naar Ethereum (ETH) te bridgen.
Deze werkwijze is een veelgebruikte tactiek om opsporingsinspanningen te bemoeilijken.
"We zijn ons bewust van een incident met SwapNet waarmee gebruikers mogelijk zijn geconfronteerd op Matcha Meta, voor degenen die One-Time Approvals hebben uitgeschakeld," zei Matcha Meta in een verklaring. Het platform identificeerde het routercontract van SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) als de meest dringende machtiging die gebruikers moeten intrekken.
Ook lezen: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
Waarom het belangrijk is: hardnekkige DeFi‑kwetsbaarheden
Het incident benadrukt een fundamentele spanning in decentralized finance tussen gebruiksgemak en veiligheid. One-Time Approvals vereisen dat gebruikers elke transactie afzonderlijk autoriseren, wat het blijvende aanvalsoppervlak verkleint maar extra frictie toevoegt voor frequente traders. Onbeperkte machtigingen bieden snelheid, maar geven smartcontracts doorlopende toegang tot de tegoeden van gebruikers.
SwapNet heeft geen technisch post-mortem gepubliceerd en evenmin aangegeven of getroffen gebruikers een vergoeding zullen ontvangen.
Op dezelfde dag signaleerde security-auditor Pashov een afzonderlijke exploit op het Ethereum-mainnet waarbij ongeveer 37 WBTC (WBTC), ter waarde van meer dan $3,1 miljoen, betrokken was, gelinkt aan een gesloten, niet‑geverifieerd contract dat slechts 41 dagen eerder was gedeployed.
Ongeveer een maand geleden was de DeFi-gemeenschap geschokt door de hack van Trust Wallet.
Trust Wallet confirmed that approximately $7 million in cryptocurrency was stolen via een gecompromitteerde update van de browserextensie. De inbreuk trof alleen versie 2.68 van de Chrome-extensie, die op 24 december werd uitgebracht. Gelukkig bleven gebruikers van de mobiele wallet onaangetast. Changpeng Zhao, oprichter van Binance, dat eigenaar is van Trust Wallet, zei dat de wallet alle getroffen gebruikers zou compenseren.
Lees hierna: Why Are Whales Buying Seeker While Smart Money Sells?