SwapNet, агрегатор децентрализованных бирж, потерял примерно $13,43 млн в криптоактивах после того, как злоумышленники эксплуатировали скомпрометированный роутер‑контракт, которому пользователи выдали постоянные разрешения на токены после отключения ключевой функции безопасности.
Что произошло: эксплуатация DEX‑агрегатора
Аналитическая компания PeckShield reported об атаке, нацеленной на активность, связанную с SwapNet и доступную через Matcha Meta — мета‑агрегатор DEX, созданный командой 0x. Уязвимость затронула пользователей, отказавшихся от системы One-Time Approval 0x и предоставивших прямые разрешения базовым контрактам‑агрегаторам.
В сети Base атакующий конвертировал около $10,5 млн в USDC (USDC) примерно в 3 655 Ether (ETH), после чего перевел средства в сеть Ethereum (ETH).
Такой маневр — распространенная тактика, усложняющая отслеживание средств.
«Мы знаем об инциденте со SwapNet, которому могли подвергнуться пользователи Matcha Meta, отключившие One-Time Approvals», — заявила Matcha Meta. Платформа определила роутер‑контракт SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) как наиболее срочное разрешение, которое пользователям следует отозвать.
Также читайте: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
Почему это важно: устойчивые уязвимости DeFi
Инцидент подчеркивает фундаментальное противоречие в децентрализованных финансах между удобством и безопасностью. One-Time Approvals требуют от пользователей подтверждать каждую транзакцию отдельно, уменьшая постоянные поверхности атаки, но добавляя трение для активных трейдеров. Неограниченные разрешения обеспечивают скорость ценой постоянного доступа смарт‑контрактов к средствам пользователя.
SwapNet пока не публиковал технический разбор инцидента и не сообщил, получат ли пострадавшие пользователи компенсации.
В тот же день аудитор безопасности Pashov сообщил об отдельной атаке в основной сети Ethereum с участием примерно 37 WBTC (WBTC), более чем на $3,1 млн, связанной с закрытым, непроверенным контрактом, развернутым всего 41 день назад.
Примерно месяц назад сообщество DeFi было шокировано взломом Trust Wallet.
Trust Wallet confirmed that approximately $7 million in cryptocurrency was stolen через скомпрометированное обновление браузерного расширения. Утечка затронула только версию 2.68 расширения для Chrome, выпущенную 24 декабря. К счастью, пользователи мобильного кошелька не пострадали. Чжао Чанпэн, основатель Binance, которой принадлежит Trust Wallet, заявил, что кошелек компенсирует убытки всем пострадавшим пользователям.
Обновлено 27 января с учетом уточненных данных о потерях пользователей в результате эксплойта, на основании недавно опубликованных data от Matcha.
Читайте далее: Why Are Whales Buying Seeker While Smart Money Sells?