SwapNet, um agregador de exchanges descentralizadas, perdeu aproximadamente US$ 16,8 milhões em criptoativos depois que invasores exploraram um contrato de roteador comprometido que havia recebido aprovações persistentes de tokens por parte de usuários que desativaram um recurso de segurança essencial.
O que aconteceu: exploração de agregador de DEX
A empresa de segurança PeckShield reported o ataque, que teve como alvo a atividade ligada à SwapNet acessível por meio da Matcha Meta, um meta agregador de DEX desenvolvido pela equipe da 0x. A vulnerabilidade afetou usuários que optaram por não usar o sistema de Aprovação Única (One-Time Approval) da 0x, concedendo permissões diretas para os contratos de agregadores subjacentes.
Na rede Base, o atacante converteu cerca de US$ 10,5 milhões em USDC (USDC) em aproximadamente 3.655 Ether (ETH) antes de fazer a ponte dos fundos para a Ethereum (ETH).
A manobra é uma tática comum usada para dificultar os esforços de rastreamento.
“Estamos cientes de um incidente com a SwapNet ao qual os usuários podem ter sido expostos na Matcha Meta, para aqueles que desativaram as Aprovações Únicas”, disse a Matcha Meta em comunicado. A plataforma identificou o contrato de roteador da SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) como a aprovação mais urgente a ser revogada pelos usuários.
Also Read: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
Por que isso importa: vulnerabilidades persistentes no DeFi
O incidente destaca uma tensão fundamental nas finanças descentralizadas entre conveniência e segurança. As Aprovações Únicas exigem que os usuários autorizem cada transação individualmente, reduzindo superfícies de ataque persistentes, mas adicionando fricção para traders frequentes. As aprovações ilimitadas oferecem rapidez ao custo de conceder a contratos inteligentes acesso contínuo aos fundos dos usuários.
A SwapNet não publicou uma análise técnica pós-incidente nem indicou se os usuários afetados receberão compensação.
No mesmo dia, o auditor de segurança Pashov sinalizou uma exploração separada na rede principal da Ethereum envolvendo cerca de 37 WBTC (WBTC), no valor de mais de US$ 3,1 milhões, ligada a um contrato de código fechado e não verificado implantado apenas 41 dias antes.
Há cerca de um mês, a comunidade DeFi ficou chocada com o hack da Trust Wallet.
Trust Wallet confirmed that approximately $7 million in cryptocurrency was stolen por meio de uma atualização comprometida da extensão de navegador. A violação afetou apenas a versão 2.68 da extensão para Chrome, lançada em 24 de dezembro. Felizmente, os usuários da carteira móvel permaneceram intocados. Changpeng Zhao, fundador da Binance, que é dona da Trust Wallet, afirmou que a carteira compensaria todos os usuários afetados.
Read Next: Why Are Whales Buying Seeker While Smart Money Sells?