Matcha Meta lovită de un hack de contract inteligent SwapNet de 16,8 milioane $

Introducere
Duminică, Matcha Meta a dezvăluit că o breșă de securitate legată de unul dintre principalii săi furnizori de lichiditate, SwapNet, a compromis utilizatorii care acordaseră aprobări contractului router al SwapNet. Incidentul subliniază modul în care componentele cu permisiuni din ecosistemele exchange-urilor descentralizate pot deveni vectori de atac chiar și atunci când infrastructura de bază rămâne intactă. Evaluările publice timpurii plasează pierderile în intervalul de aproximativ 13 milioane $ până la 17 milioane $, activitatea on-chain concentrându-se pe rețeaua Base și mișcările cross-chain către Ethereum. Dezvăluirea a determinat solicitări pentru utilizatori de a revoca aprobările și a crescut controlul asupra modului în care contractele inteligente expuse routerelor externe sunt protejate.

Concluzii cheie

• Breșa a provenit prin contractul router al SwapNet, determinând un apel urgent pentru utilizatori de a revoca aprobările pentru a preveni pierderi suplimentare.
• Estimările fondurilor furate variază: CertiK a raportat aproximativ 13,3 milioane $, în timp ce PeckShield contabilizează cel puțin 16,8 milioane $ pe rețeaua Base.
• Pe Base, atacatorul a schimbat aproximativ 10,5 milioane USDC pentru aproximativ 3.655 ETH și a început să transfere fonduri către Ethereum.
• CertiK a atribuit vulnerabilitatea unui apel arbitrar în contractul 0xswapnet, care a permis atacatorului să transfere fonduri deja aprobate pentru acesta.
• Matcha Meta a indicat că expunerea a fost legată de SwapNet mai degrabă decât de propria sa infrastructură, iar oficialii nu au furnizat încă detalii privind compensarea sau măsurile de siguranță.
• Punctele slabe ale contractelor inteligente continuă să fie principalul factor al exploatărilor crypto, reprezentând 30,5% din incidente în 2025, conform raportului anual de securitate al SlowMist.

Simboluri menționate

Simboluri menționate: Crypto → USDC, ETH, TRU

Sentiment

Sentiment: Neutru

Impact asupra prețului

Impact asupra prețului: Negativ. Breșa evidențiază riscurile de securitate continue în DeFi și poate influența sentimentul de risc în jurul furnizării responsabile de lichiditate și gestionării aprobărilor.

Idee de tranzacționare (Nu este sfat financiar)

Idee de tranzacționare (Nu este sfat financiar): Păstrare. Incidentul este specific unei căi de aprobare a routerului și nu implică direct un risc sistemic mai larg pentru toate protocoalele DeFi, dar necesită prudență în jurul gestionării aprobărilor și lichidității cross-chain.

Context de piață

Context de piață: Evenimentul survine în mijlocul unei atenții sporite asupra securității DeFi și activității cross-chain, unde furnizorii de lichiditate și agregatorii se bazează din ce în ce mai mult pe componente modulare. De asemenea, se încadrează pe fondul discuțiilor în evoluție despre guvernanța on-chain, audituri și necesitatea unor măsuri de protecție robuste, pe măsură ce protocoalele blue-chip și noii intrați concurează pentru încrederea utilizatorilor.

De ce contează

De ce contează

Incidentele de securitate la agregatorii DeFi ilustrează suprafețele de risc persistente prezente atunci când interacționează mai multe straturi de protocol. În acest caz, breșa a fost atribuită unei vulnerabilități din contractul router al SwapNet mai degrabă decât arhitecturii de bază a Matcha Meta, subliniind modul în care încrederea este distribuită între componentele partenerilor într-un ecosistem componibil. Pentru utilizatori, episodul servește ca o reamintire de a revizui și revoca aprobările de token-uri în mod regulat, în special după suspiciuni de activitate anormală on-chain.

Impactul financiar, deși încă în evoluție, consolidează importanța verificării riguroase a furnizorilor externi de lichiditate și necesitatea monitorizării în timp real a fluxurilor de aprobare. Faptul că atacatorii au putut converti o porțiune substanțială a fondurilor furate în stablecoin-uri și apoi să transfere active către Ethereum evidențiază dinamica cross-chain care complică eforturile de trasabilitate și restituire post-incident. Exchange-urile și cercetătorii de securitate subliniază valoarea domeniilor de permisiune granulare, limitate în timp și a capacităților de revocare timpurie pentru a limita raza de explozie a unor astfel de exploatări.

Din perspectiva pieței, episodul adaugă la o narațiune mai largă despre fragilitatea finanțelor fără permisiuni și cursa continuă de a implementa măsuri de protecție robuste și auditabile pe straturile ecosistemelor DeFi. Deși nu este o acuzație sistemică a Matcha Meta, incidentul intensifică solicitările pentru audituri de securitate standardizate ale contractelor router și o responsabilitate mai clară pentru modulele terțe care interacționează cu fondurile utilizatorilor.

Ce să urmărim în continuare

Ce să urmărim în continuare

• Actualizările oficiale ale Matcha Meta privind cauza principală și orice planuri de remediere sau compensare pentru utilizatorii afectați.
• Orice audituri externe sau revizuiri terțe ale contractului router al SwapNet și modificări de guvernanță pentru a preveni reapariția.
• Monitorizarea on-chain a activității bridge Base-către-Ethereum legate de acest incident și mișcările ulterioare de fonduri.
• Dezvoltări de reglementare și standarde din industrie în jurul securității DeFi, în special cadrele de auditare a contractelor inteligente și controalele de aprobare ale utilizatorilor.

Surse și verificare

• Postarea Matcha Meta pe X avertizând utilizatorii să revoce aprobările SwapNet după breșă.
• Avizul CertiK identificând exploatarea ca provenind dintr-un apel arbitrar în contractul 0xswapnet care a permis transferul fondurilor aprobate.
• Actualizarea PeckShield notând aproximativ 16,8 milioane $ drenate pe Base, inclusiv schimbul de USDC pentru ETH și transferul către Ethereum.
• Raportul anual 2025 de securitate Blockchain și AML al SlowMist detaliind cota incidentelor pe categorii, inclusiv 30,5% atribuite vulnerabilităților contractelor inteligente și 24% compromiterilor de conturi.
• Acoperirea Cointelegraph a incidentului Truebit, inclusiv o pierdere de 26 milioane $ și scăderea token-ului TRU, pentru context mai larg privind expunerea la riscul contractelor inteligente.

Corpul articolului rescris

Breșa de securitate la Matcha Meta subliniază riscurile contractelor inteligente în ecosistemele DEX

În cel mai recent exemplu al modului în care DeFi poate fi compromis din interior, Matcha Meta a dezvăluit că o breșă de securitate a apărut prin una dintre căile sale principale de furnizare a lichidității—contractul router al SwapNet. Consecința pentru utilizatori este revocarea aprobărilor de token-uri, pe care protocolul a îndemnat-o explicit în postarea sa publică. Breșa nu a părut să provină din infrastructura de bază a Matcha Meta, a indicat compania, ci mai degrabă dintr-o vulnerabilitate în stratul router al unui partener care a acordat permisiuni de a muta fonduri în numele utilizatorilor.

Estimările timpurii ale cercetătorilor de securitate plasează impactul financiar într-o bandă strânsă. CertiK a cuantificat pierderile la aproximativ 13,3 milioane $, în timp ce PeckShield a raportat o cifră mai mare, minimă, de 16,8 milioane $ pe rețeaua Base. Discrepanța reflectă metode diferite de contabilitate on-chain și momentul revizuirilor post-incident, dar ambele analize confirmă o pierdere semnificativă legată de funcționalitatea router-ului SwapNet. Pe Base, atacatorul ar fi schimbat aproximativ 10,5 milioane USDC (CRYPTO: USDC) pentru aproximativ 3.655 ETH (CRYPTO: ETH) și a început să transfere veniturile către Ethereum, conform buletinului PeckShield postat pe X.

Evaluarea CertiK oferă o explicație tehnică pentru exploatare: un apel arbitrar în contractul 0xswapnet a permis atacatorului să extragă fonduri pe care utilizatorii le aprobaseră deja, ocolind efectiv un furt direct din pool-ul de lichiditate al SwapNet și valorificând în schimb permisiunile acordate routerului. Această distincție contează deoarece indică o deficiență de guvernanță sau design la nivelul de integrare mai degrabă decât o breșă a propriilor controale de custodie sau securitate ale Matcha Meta.

Matcha Meta a recunoscut că expunerea este legată de SwapNet și nu a atribuit vulnerabilitatea propriei sale infrastructuri. Încercările de a obține un comentariu privind mecanismele de compensare sau măsurile de siguranță nu au fost returnate imediat, lăsând utilizatorii afectați fără o cale clară de remediere pe termen scurt. Incidentul ilustrează un profil de risc mai larg pentru agregatorii DEX: atunci când parteneriatele introduc noi interfețe de contracte, atacatorii pot viza fluxuri cu permisiuni care se află la intersecția aprobărilor utilizatorilor și transferurilor automate de fonduri.

Peisajul de securitate mai larg în crypto rămâne obstinat precar. În 2025, vulnerabilitățile contractelor inteligente au fost cauza principală a exploatărilor crypto, reprezentând 30,5% din incidente și 56 de evenimente totale, conform raportului anual al SlowMist. Această cotă evidențiază modul în care chiar și proiectele sofisticate pot fi deranjate de bug-uri de cazuri limită sau configurări greșite în codul care guvernează transferul automat de valoare. Compromiterile de conturi și conturile sociale compromise (cum ar fi handle-urile X ale victimelor) au reprezentat, de asemenea, o porțiune considerabilă din incidente, subliniind natura multi-vectorială a setului de instrumente al atacatorilor.

Dincolo de unghiurile pur tehnice, incidentul alimentează un discurs în creștere în jurul utilizării inteligenței artificiale în securitatea contractelor inteligente. Rapoartele din DECEMBRIE au notat că agenții AI disponibili comercial au descoperit exploatări on-chain de aproximativ 4,6 milioane $ în timp real, valorificând instrumente precum Claude Opus 4.5, Claude Sonnet 4.5 și GPT-5 al OpenAI. Apariția tehnicilor de sondare și exploatare activate de AI adaugă un strat de complexitate evaluării riscurilor pentru auditori și operatori deopotrivă. Acest peisaj de amenințări în evoluție consolidează necesitatea monitorizării continue, revocării rapide a permisiunilor și măsurilor defensive adaptabile în ecosistemele DeFi.

Cu două săptămâni înainte de incidentul SwapNet, o altă vulnerabilitate de profil înalt a contractelor inteligente a dus la pierderi de 26 milioane $ pentru protocolul Truebit, urmată de o reacție abruptă a prețului în token-ul TRU (CRYPTO: TRU). Astfel de episoade subliniază faptul că stratul de contracte inteligente rămâne o suprafață de atac principală pentru hackeri, chiar dacă alte domenii din sfera crypto—custodie, infrastructură centralizată și componente off-chain—se confruntă, de asemenea, cu amenințări persistente. Tema recurentă este că gestionarea riscurilor trebuie să se extindă dincolo de audituri și recompense pentru bug-uri pentru a include guvernanță live, monitorizare în timp real și practici prudente ale utilizatorilor în jurul aprobărilor și mișcărilor cross-chain.

Pe măsură ce piața digeră implicațiile, observatorii subliniază că calea către reziliență în DeFi se bazează pe măsuri de protecție stratificate și răspuns transparent la incidente. Deși vulnerabilitatea SwapNet pare izolată la o anumită integrare, incidentul consolidează o lecție centrală: chiar și partenerii de încredere pot introduce risc sistemic dacă contractele lor interacționează cu fondurile utilizatorilor în moduri care ocolesc măsurile de protecție standard. Registrul on-chain va continua să se desfășoare pe măsură ce investigatorii, Matcha Meta și partenerii săi de lichiditate efectuează revizuiri forensice și determină dacă victimele vor primi compensare sau îmbunătățiri ale controalelor de risc care pot preveni incidente similare în viitor.

Acest articol a fost publicat inițial ca Matcha Meta lovită de un hack de contract inteligent SwapNet de 16,8 milioane $ pe Crypto Breaking News – sursa ta de încredere pentru știri crypto, știri Bitcoin și actualizări blockchain.