SwapNet, agregator zdecentralizowanych giełd, stracił około 13,43 mln USD w kryptowalutach po tym, jak atakujący wykorzystali skompromitowany kontrakt routera, który miał stałe zgody na tokeny nadane przez użytkowników, którzy wyłączyli kluczową funkcję bezpieczeństwa.
Co się stało: atak na agregator DEX
Firma zajmująca się bezpieczeństwem PeckShield reported atak, który był wymierzony w aktywność powiązaną ze SwapNet, dostępną poprzez Matcha Meta, meta‑agregator DEX stworzony przez zespół 0x. Luka dotknęła użytkowników, którzy zrezygnowali z systemu One-Time Approval 0x, przyznając bezpośrednie uprawnienia bazowym kontraktom agregatora.
W sieci Base atakujący zamienił około 10,5 mln USD w USDC (USDC) na około 3 655 Etheru (ETH), zanim przetransferował środki do sieci Ethereum (ETH).
Ten manewr to częsta taktyka utrudniająca śledzenie przepływu środków.
„Jesteśmy świadomi incydentu ze SwapNet, na który użytkownicy mogli być narażeni na Matcha Meta, jeśli wyłączyli One-Time Approvals” – przekazało Matcha Meta w oświadczeniu. Platforma wskazała kontrakt routera SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) jako najpilniejsze uprawnienie, które użytkownicy powinni odwołać.
Also Read: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
Dlaczego to ważne: utrzymujące się luki w DeFi
Incydent podkreśla fundamentalne napięcie w zdecentralizowanych finansach między wygodą a bezpieczeństwem. One-Time Approvals wymagają od użytkowników autoryzacji każdej transakcji z osobna, co zmniejsza stałą powierzchnię ataku, ale zwiększa tarcie dla aktywnych traderów. Nielimitowane zgody zapewniają szybkość kosztem stałego dostępu inteligentnych kontraktów do środków użytkownika.
SwapNet nie opublikował jeszcze technicznej analizy po incydencie ani nie wskazał, czy poszkodowani użytkownicy otrzymają odszkodowanie.
Tego samego dnia audytor bezpieczeństwa Pashov zgłosił osobny atak w sieci głównej Ethereum, obejmujący około 37 WBTC (WBTC) o wartości ponad 3,1 mln USD, powiązany z zamkniętym, niezweryfikowanym kontraktem wdrożonym zaledwie 41 dni wcześniej.
Około miesiąc temu społeczność DeFi była wstrząśnięta włamaniem do Trust Wallet.
Trust Wallet confirmed that approximately $7 million in cryptocurrency was stolen poprzez zainfekowaną aktualizację rozszerzenia przeglądarkowego. Naruszenie dotyczyło wyłącznie wersji 2.68 rozszerzenia Chrome, wydanej 24 grudnia. Na szczęście użytkownicy portfeli mobilnych pozostali nienaruszeni. Changpeng Zhao, założyciel Binance, które jest właścicielem Trust Wallet, zapowiedział, że portfel zrekompensuje straty wszystkim poszkodowanym użytkownikom.
Aktualizacja z 27 stycznia, odzwierciedlająca skorygowane dane dotyczące strat użytkowników w wyniku ataku, na podstawie nowo opublikowanych data z Matcha.
Read Next: Why Are Whales Buying Seeker While Smart Money Sells?