SwapNet, агрегатор децентралізованих бірж, втратив приблизно $16,8 млн у криптоактивах після того, як зловмисники експлуатували скомпрометований роутер‑контракт, якому користувачі надали постійні дозволи на токени після вимкнення ключової функції безпеки.
Що сталося: експлойт агрегатора DEX
Аналітична компанія безпеки PeckShield reported про атаку, яка була спрямована на активність, пов’язану зі SwapNet і доступну через Matcha Meta — мета‑агрегатор DEX, створений командою 0x. Уразливість зачепила користувачів, які відмовилися від системи One-Time Approval від 0x і натомість надали прямі дозволи базовим агрегаторним контрактам.
У мережі Base зловмисник конвертував близько $10,5 млн у USDC (USDC) приблизно в 3 655 Ether (ETH), перш ніж перекинути ці кошти в мережу Ethereum (ETH).
Такий маневр є поширеною тактикою, яка ускладнює відстеження коштів.
«Ми знаємо про інцидент із SwapNet, до якого могли бути дотичні користувачі Matcha Meta, що вимкнули One-Time Approvals», — заявила Matcha Meta. Платформа визначила роутер‑контракт SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) як найнагальніший дозвіл, який користувачам слід відкликати.
Also Read: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
Чому це важливо: стійкі вразливості DeFi
Інцидент підкреслює фундаментальну напругу в децентралізованих фінансах між зручністю та безпекою. One-Time Approvals змушують користувачів авторизувати кожну транзакцію окремо, зменшуючи постійну площу атаки, але додаючи тертя для активних трейдерів. Необмежені дозволи забезпечують швидкість, але дають смарт‑контрактам тривалий доступ до коштів користувачів.
SwapNet не опублікував технічний розбір інциденту і не повідомив, чи отримають постраждалі користувачі компенсацію.
Того ж дня аудитор безпеки Pashov виявив ще один експлойт у мережі Ethereum mainnet, пов’язаний із приблизно 37 WBTC (WBTC) на суму понад $3,1 млн. Атака стосувалася закритого, неперевіреного контракту, розгорнутого лише 41 день тому.
Близько місяця тому спільнота DeFi була шокована зламом Trust Wallet.
Trust Wallet confirmed that approximately $7 million in cryptocurrency was stolen через скомпрометоване оновлення браузерного розширення. Порушення торкнулося лише версії 2.68 розширення для Chrome, яка була випущена 24 грудня. На щастя, користувачі мобільного гаманця не постраждали. Чанпэн Чжао, засновник Binance, якій належить Trust Wallet, заявив, що гаманець компенсує збитки всім постраждалим користувачам.
Read Next: Why Are Whales Buying Seeker While Smart Money Sells?