SwapNet, агрегатор децентрализованных бирж, потерял примерно $16,8 млн в криптовалютных активах после того, как злоумышленники воспользовались скомпрометированным роутер‑контрактом, которому пользователи выдали постоянные разрешения на операции с токенами после отключения ключевой функции безопасности.
Что произошло: эксплойт DEX‑агрегатора
Аналитическая фирма PeckShield reported об атаке, нацеленной на операции, связанные с SwapNet, доступные через Matcha Meta — мета‑DEX‑агрегатор, созданный командой 0x. Уязвимость затронула пользователей, которые отказались от системы One-Time Approval 0x, предоставив прямые разрешения базовым контрактам агрегатора.
В сети Base атакующий конвертировал около $10,5 млн в USDC (USDC) примерно в 3 655 Ether (ETH), после чего перебриджил средства в сеть Ethereum (ETH).
Такой манёвр — распространённая тактика, усложняющая отслеживание средств.
«Мы осведомлены об инциденте с SwapNet, с которым пользователи могли столкнуться на Matcha Meta, если они отключили One-Time Approvals», — заявила команда Matcha Meta. Площадка указала на роутер‑контракт SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) как на наиболее срочное разрешение, которое пользователям следует отозвать.
Also Read: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
Почему это важно: устойчивые уязвимости DeFi
Инцидент подчёркивает фундаментальное противоречие в децентрализованных финансах между удобством и безопасностью. One-Time Approvals требуют, чтобы пользователи одобряли каждую транзакцию отдельно, уменьшая постоянную площадь атаки, но добавляя трение для активных трейдеров. Неограниченные разрешения обеспечивают скорость ценой предоставления смарт‑контрактам постоянного доступа к средствам пользователей.
SwapNet пока не опубликовал технический разбор инцидента и не сообщил, получат ли пострадавшие пользователи компенсацию.
В тот же день аудитор безопасности Pashov сообщил об отдельном эксплойте в основной сети Ethereum, связанном примерно с 37 WBTC (WBTC) на сумму более $3,1 млн. Атака была привязана к закрытому, непроверенному контракту, развернутому всего 41 день назад.
Около месяца назад сообщество DeFi было шокировано взломом Trust Wallet.
Trust Wallet confirmed that approximately $7 million in cryptocurrency was stolen через скомпрометированное обновление браузерного расширения. Взлом затронул только версию 2.68 расширения Chrome, выпущенную 24 декабря. К счастью, пользователи мобильного кошелька не пострадали. Changpeng Zhao, основатель Binance, которой принадлежит Trust Wallet, заявил, что кошелёк компенсирует убытки всем пострадавшим пользователям.
Read Next: Why Are Whales Buying Seeker While Smart Money Sells?