SwapNet, zdecentralizowany agregator giełd (DEX), stracił około 16,8 mln dolarów w aktywach kryptowalutowych po tym, jak atakujący wykorzystali skompromitowany kontrakt routera, który miał nadane stałe uprawnienia do tokenów przez użytkowników, którzy wyłączyli kluczową funkcję bezpieczeństwa.
Co się stało: exploit agregatora DEX
Firma bezpieczeństwa PeckShield reported atak, który był wymierzony w aktywność powiązaną ze SwapNet, dostępną przez Matcha Meta, meta-agregator DEX zbudowany przez zespół 0x. Luka dotknęła użytkowników, którzy zrezygnowali z systemu One-Time Approval 0x, przyznając bezpośrednie uprawnienia bazowym kontraktom agregatora.
W sieci Base atakujący zamienił około 10,5 mln USDC (USDC) na około 3 655 Etherów (ETH), zanim przebridzgował środki do Ethereum (ETH).
Ten manewr jest powszechną taktyką używaną do utrudniania śledzenia przepływu środków.
„Jesteśmy świadomi incydentu ze SwapNet, na który użytkownicy mogli być narażeni na Matcha Meta, jeśli wyłączyli One-Time Approvals” – podała Matcha Meta w oświadczeniu. Platforma wskazała kontrakt routera SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) jako najpilniejsze uprawnienie, które użytkownicy powinni odwołać.
Also Read: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
Dlaczego to ważne: utrzymujące się luki w DeFi
Incydent podkreśla fundamentalne napięcie w zdecentralizowanych finansach między wygodą a bezpieczeństwem. One-Time Approvals wymagają od użytkowników autoryzacji każdej transakcji z osobna, co zmniejsza stałą powierzchnię ataku, ale dodaje tarcia dla aktywnych traderów. Nielimitowane zgody oferują szybkość kosztem nadania smart kontraktom ciągłego dostępu do środków użytkownika.
SwapNet nie opublikował jeszcze technicznej analizy powłamaniowej ani nie wskazał, czy poszkodowani użytkownicy otrzymają odszkodowanie.
Tego samego dnia audytor bezpieczeństwa Pashov wskazał osobny exploit w sieci głównej Ethereum, obejmujący około 37 WBTC (WBTC), wartych ponad 3,1 mln dolarów, powiązany z zamkniętym, niezweryfikowanym kontraktem wdrożonym zaledwie 41 dni wcześniej.
Około miesiąc temu społeczność DeFi została zszokowana atakiem na Trust Wallet.
Trust Wallet confirmed that approximately $7 million in cryptocurrency was stolen poprzez zainfekowaną aktualizację rozszerzenia przeglądarkowego. Naruszenie dotyczyło wyłącznie wersji 2.68 rozszerzenia Chrome, wydanej 24 grudnia. Na szczęście użytkownicy portfela mobilnego pozostali nietknięci. Changpeng Zhao, założyciel Binance, do którego należy Trust Wallet, zapowiedział, że portfel zrekompensuje straty wszystkim poszkodowanym użytkownikom.
Read Next: Why Are Whales Buying Seeker While Smart Money Sells?