SwapNet, агрегатор децентралізованих бірж, втратив приблизно $13,43 млн у криптоактивах після того, як зловмисники експлуатували скомпрометований роутер-контракт, якому користувачі надали постійні дозволи на токени, вимкнувши ключову функцію безпеки.
Що сталося: експлойт DEX-агрегатора
Фірма з кібербезпеки PeckShield reported про атаку, яка була спрямована на активність, пов’язану з SwapNet, доступну через Matcha Meta, мета DEX-агрегатор, створений командою 0x. Уразливість зачепила користувачів, які відмовилися від системи One-Time Approval від 0x, надаючи прямі дозволи базовим контрактам-агрегаторам.
У мережі Base зловмисник конвертував близько $10,5 млн у USDC (USDC) приблизно в 3 655 Ether (ETH), після чого забриджив кошти в мережу Ethereum (ETH).
Такий маневр є поширеною тактикою, що ускладнює відстеження.
«Ми знаємо про інцидент із SwapNet, якому могли піддатися користувачі Matcha Meta, які вимкнули One-Time Approvals», — заявила Matcha Meta. Платформа визначила роутер-контракт SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) як найнагальніший дозвіл, який користувачам слід відкликати.
Also Read: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
Чому це важливо: стійкі вразливості DeFi
Інцидент підкреслює фундаментальну напругу в децентралізованих фінансах між зручністю та безпекою. One-Time Approvals вимагають, щоб користувачі окремо авторизували кожну транзакцію, зменшуючи постійну площу атаки, але створюючи додаткове тертя для активних трейдерів. Необмежені дозволи забезпечують швидкість, але надають смартконтрактам постійний доступ до коштів користувачів.
SwapNet не опублікував технічний постмортем і не повідомив, чи отримають постраждалі користувачі компенсацію.
У той самий день аудитор безпеки Pashov виявив окремий експлойт у мережі Ethereum mainnet, що охоплював приблизно 37 WBTC (WBTC) на суму понад $3,1 млн. Він був пов’язаний із закритим, неперевіреним контрактом, розгорнутим лише 41 день тому.
Близько місяця тому спільнота DeFi була шокована зламом Trust Wallet.
Trust Wallet confirmed that approximately $7 million in cryptocurrency was stolen через скомпрометоване оновлення розширення браузера. Порушення торкнулося лише версії 2.68 розширення для Chrome, випущеної 24 грудня. На щастя, користувачі мобільного гаманця не постраждали. Changpeng Zhao, засновник Binance, якій належить Trust Wallet, заявив, що гаманець компенсує всіх постраждалих користувачів.
Оновлено 27 січня з урахуванням уточнених даних щодо збитків користувачів від експлойту, на основі нещодавно опублікованих data від Matcha.
Read Next: Why Are Whales Buying Seeker While Smart Money Sells?