SwapNet, um agregador de exchanges descentralizadas, perdeu aproximadamente US$ 13,43 milhões em ativos de criptomoedas depois que invasores exploraram um contrato de roteador comprometido que havia recebido aprovações persistentes de tokens por parte de usuários que desativaram um recurso de segurança fundamental.
O que aconteceu: exploit em agregador de DEX
A empresa de segurança PeckShield reported o ataque, que teve como alvo atividades vinculadas à SwapNet acessíveis por meio da Matcha Meta, um meta agregador de DEX desenvolvido pela equipe da 0x. A vulnerabilidade afetou usuários que haviam optado por não usar o sistema de One-Time Approval da 0x, concedendo permissões diretas aos contratos subjacentes do agregador.
Na rede Base, o invasor converteu cerca de US$ 10,5 milhões em USDC (USDC) em aproximadamente 3.655 Ether (ETH) antes de fazer o bridge dos fundos para a Ethereum (ETH).
A manobra é uma tática comum usada para dificultar os esforços de rastreamento.
“Estamos cientes de um incidente com a SwapNet ao qual usuários podem ter sido expostos na Matcha Meta, para aqueles que desativaram as One-Time Approvals”, disse a Matcha Meta em comunicado. A plataforma identificou o contrato de roteador da SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) como a aprovação mais urgente que os usuários devem revogar.
Also Read: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
Por que importa: vulnerabilidades persistentes em DeFi
O incidente destaca uma tensão fundamental nas finanças descentralizadas entre conveniência e segurança. As One-Time Approvals exigem que os usuários autorizem cada transação individualmente, reduzindo a superfície de ataque persistente, mas adicionando fricção para traders frequentes. Aprovações ilimitadas oferecem mais rapidez ao custo de conceder aos contratos inteligentes acesso contínuo aos fundos dos usuários.
A SwapNet não divulgou um post-mortem técnico nem indicou se os usuários afetados receberão compensação.
No mesmo dia, o auditor de segurança Pashov sinalizou um exploit separado na rede principal da Ethereum envolvendo cerca de 37 WBTC (WBTC), no valor de mais de US$ 3,1 milhões, ligado a um contrato de código fechado, não verificado, implantado apenas 41 dias antes.
Cerca de um mês atrás, a comunidade DeFi foi abalada pelo hack da Trust Wallet.
Trust Wallet confirmed that approximately $7 million in cryptocurrency was stolen por meio de uma atualização comprometida da extensão de navegador. A violação afetou apenas a versão 2.68 da extensão para Chrome, lançada em 24 de dezembro. Felizmente, usuários da carteira móvel não foram afetados. Changpeng Zhao, fundador da Binance, que é dona da Trust Wallet, afirmou que a carteira compensaria todos os usuários afetados.
Atualizado em 27 de janeiro para refletir números corrigidos sobre as perdas dos usuários no exploit, com base em data recém-divulgados pela Matcha.
Read Next: Why Are Whales Buying Seeker While Smart Money Sells?