Взлом, связанный с агрегатором децентрализованных бирж Matcha *Meta, привел к краже криптоактивов на сумму около 16,8 миллиона долларов, пополнив растущий список эксплойтов смарт-контрактов, которые продолжают ставить под сомнение гарантии безопасности пользователей DeFi.
Инцидент произошел в воскресенье и был отслежен не до основной инфраструктуры Matcha, а до SwapNet — одного из поставщиков ликвидности, интегрированных в платформу.
Matcha *Meta опубликовала информацию о проблеме в посте на X, сообщив, что пользователи, отключившие функцию «Одноразовое одобрение» (One-Time Approval) и вместо этого предоставившие прямые разрешения на токены отдельным контрактам агрегатора, могли оказаться под угрозой.
Протокол настоятельно рекомендовал пострадавшим пользователям немедленно отозвать разрешения, связанные с роутер-контрактом SwapNet, предупреждая, что бездействие может оставить кошельки уязвимыми для дальнейших несанкционированных переводов.
17 Миллионов Исчезают за Секунды: Как Хакеры Matcha Перевели Средства в Ethereum
Фирмы по безопасности блокчейна оперативно начали отслеживать эксплойт по мере перемещения средств в сети.
PeckShield сообщила, что всего было выведено около 16,8 миллиона долларов. Злоумышленник обменял примерно 10,5 миллиона USDC на около 3 655 ETH в сети Base, после чего начал переводить активы в Ethereum.
CertiK независимо зафиксировала подозрительные транзакции, выявив кошелек, который вывел около 13,3 миллиона USDC в сети Base и конвертировал средства в обернутый Ether.
Обе фирмы указали на уязвимость в контракте SwapNet, которая позволила выполнять произвольные вызовы, дав возможность злоумышленнику переводить токены, ранее одобренные пользователями.
Позднее Matcha уточнила, что инцидент не связан с контрактами AllowanceHolder или Settler от 0x, которые лежат в основе ее системы One-Time Approval.
Команда отметила, что пользователи, взаимодействовавшие с Matcha с использованием One-Time Approvals, не пострадали, поскольку эта архитектура ограничивает объем доступа, который может сохранять сторонний контракт.
Угроза, по словам команды, коснулась только тех пользователей, которые отказались от этой системы и предоставили постоянные разрешения напрямую контрактам агрегатора. В ответ Matcha удалила возможность для пользователей устанавливать такие прямые одобрения в будущем.
Старые Одобрения Токенов Выступают Постоянным Слабым Местом DeFi
Взлом подчеркивает постоянное противоречие в DeFi между гибкостью и безопасностью. Одобрения токенов, хотя и необходимы для взаимодействия со смарт-контрактами, давно являются слабым звеном, особенно когда разрешения остаются активными долгое время после завершения транзакции.
В данном случае ранее выданные разрешения стали путем для эксплойта после компрометации контракта SwapNet.
Инцидент произошел на фоне сохраняющейся обеспокоенности безопасностью смарт-контрактов во всем криптосекторе.
В отчете SlowMist по итогам года показано, что уязвимости в смарт-контрактах стали причиной чуть более 30% крипто-взломов в 2025 году, что делает их основной причиной потерь.
Исследователи также предупреждают, что достижения в области искусственного интеллекта ускоряют темпы, с которыми злоумышленники могут находить и использовать уязвимости в коде блокчейна.
Хотя общие потери в криптосфере в декабре снизились, упав примерно на 60% по сравнению с предыдущим месяцем до уровня около 76 миллионов долларов, фирмы по безопасности предостерегли, что это снижение не отражает структурного улучшения.
PeckShield отметила, что на одну мошенническую схему отравления адресов пришлось 50 миллионов долларов из декабрьских потерь, что демонстрирует, насколько концентрированными и серьезными могут быть отдельные инциденты даже в более спокойные периоды.
Январь уже ознаменовался несколькими заметными эксплойтами. IPOR Labs подтвердила атаку на свой USDC Fusion Optimizer vault в Arbitrum на сумму 336 000 долларов, в то время как Truebit раскрыла инцидент со смарт-контрактом, который, по оценкам аналитиков в сети, вывел более 8 500 ETH, вызвав почти полный обвал цены токена проекта.
На прошлой неделе сеть Layer-1 Saga приостановила работу SagaEVM после эксплойта, в результате которого было переведено почти 7 миллионов долларов активов в Ethereum.
*Facebook, *Instagram и *WhatsApp принадлежат компании Meta Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Hassan shittu
