Inicio
Noticias
Detalles

Matcha Meta golpeado por un hackeo del contrato inteligente SwapNet de $16.8M

iconCryptoBreaking
Compartir
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
USDC
$1,001-0,01 %
This is the logo of the coin.
ETH
$1824,57-5,2 %
AI summary iconResumen

expand icon
Un ataque a una criptomoneda golpeó a Matcha Meta a través del contrato de enrutador de SwapNet, con pérdidas estimadas de 13 a 17 millones de dólares. CertiK y PeckShield reportaron que se habían robado 13,3 millones y 16,8 millones de dólares, respectivamente. Los atacantes intercambiaron 10,5 millones de USDC por 3.655 ETH en Base antes de mover los fondos a Ethereum. El exploit involucró una llamada arbitraria en el contrato 0xswapnet. Matcha Meta afirmó que la brecha provino de SwapNet, no de sus propios sistemas, y le pidió a los usuarios que revocaran las aprobaciones. El ataque a la casa de cambio pone de relieve los riesgos de seguridad continuos en DeFi.
Matcha Meta golpeado por un hackeo del contrato inteligente Swapnet de $16,8 millones

Introducción
El domingo, Matcha Meta reveló que un incidente de seguridad relacionado con uno de sus principales proveedores de liquidez, SwapNet, comprometió a usuarios que habían otorgado aprobaciones al contrato de enrutamiento de SwapNet. El incidente pone de relieve cómo los componentes autorizados dentro de los ecosistemas de intercambios descentralizados pueden convertirse en vectores de ataque, incluso cuando la infraestructura principal permanece intacta. Las primeras evaluaciones públicas sitúan las pérdidas en un rango de aproximadamente 13 a 17 millones de dólares, con la actividad en cadena centrada en la red Base y movimientos entre cadenas hacia Ethereum. La divulgación generó solicitudes para que los usuarios revocaran las aprobaciones y un mayor escrutinio sobre cómo se protegen los contratos inteligentes expuestos a enrutadores externos.

Puntos clave

  • La brecha se originó a través del contrato de enrutador de SwapNet, lo que generó una llamada urgente a los usuarios para revocar las aprobaciones y prevenir pérdidas adicionales.
  • Las estimaciones de los fondos robados varían: CertiK informó sobre 13,3 millones de dólares, mientras que PeckShield calcula al menos 16,8 millones de dólares en la red Base.
  • En Base, el atacante intercambió aproximadamente 10,5 millones de USDC por alrededor de 3.655 ETH y comenzó a transferir fondos a Ethereum.
  • CertiK atribuyó la vulnerabilidad a una llamada arbitraria en el contrato 0xswapnet, lo que permitió al atacante transferir fondos ya aprobados para él.
  • Matcha Meta indicó que la exposición estaba relacionada con SwapNet en lugar que con su propia infraestructura, y los funcionarios aún no han proporcionado detalles sobre compensaciones o salvaguardias.
  • Las debilidades de los contratos inteligentes continúan siendo el principal motor de los ataques a criptomonedas, representando el 30,5 % de los incidentes en 2025, según el informe anual de seguridad de SlowMist.

Tickers Mencionados

Tickers mencionados: Cripto → USDC, ETH, TRU

Sentimiento

Sentimiento: Neutral

Impacto en el Precio

Impacto en el precio: Negativo. La violación resalta riesgos de seguridad continuos en DeFi y puede influir en la percepción del riesgo en torno a la provisión responsable de liquidez y la gestión de aprobaciones.

Idea para operar (No es asesoramiento financiero)

Idea de trading (No es asesoramiento financiero): Mantén. El incidente es específico de una ruta de aprobación de enrutador y no implica directamente riesgos sistémicos más amplios para todos los protocolos DeFi, pero merece precaución en torno a la gestión de aprobaciones y la liquidez multi-cadena.

Contexto del mercado

Contexto del mercado: El evento se produce en medio de una mayor atención a la seguridad de DeFi y la actividad entre cadenas, donde los proveedores de liquidez y los agregadores dependen cada vez más de componentes modulares. También se enmarca en un contexto de discusiones en evolución sobre la gobernanza en cadena, auditorías y la necesidad de salvaguardas sólidas, a medida que protocolos de alto perfil y nuevos participantes compiten por la confianza de los usuarios.

Por qué importa

Por qué importa

Los incidentes de seguridad en agregadores de DeFi ilustran los riesgos persistentes que existen cuando múltiples capas de protocolo interactúan. En este caso, la brecha se atribuyó a una vulnerabilidad en el contrato de enrutador de SwapNet, más que a la arquitectura central de Matcha Meta, destacando cómo la confianza se distribuye entre componentes asociados en un ecosistema compuesto. Para los usuarios, el episodio sirve como recordatorio para revisar y revocar regularmente las aprobaciones de tokens, especialmente después de sospechas de actividad anormal en la cadena.

El impacto financiero, aunque aún en evolución, refuerza la importancia de un riguroso cribado de los proveedores externos de liquidez y la necesidad de un monitoreo en tiempo real de los flujos de aprobación. El hecho de que los atacantes hayan podido convertir una parte sustancial de los fondos robados en stablecoins y luego trasladar activos a Ethereum pone de relieve las dinámicas multirred que complican la trazabilidad y los esfuerzos de restitución tras un incidente. Las plataformas de intercambio y los investigadores de seguridad destacan el valor de los permisos detallados y limitados en el tiempo, así como la capacidad de revocación temprana, para limitar el alcance de tales explotaciones.

Desde una perspectiva de mercado, el episodio se suma a una narrativa más amplia sobre la fragilidad de la financiación sin permiso y la carrera continua por implementar salvaguardas robustas y auditables a través de las capas de los ecosistemas DeFi. Aunque no constituye una condena sistémica de Matcha Meta, el incidente intensifica las llamadas a auditorías de seguridad estandarizadas de los contratos de enrutamiento y una mayor responsabilidad sobre los módulos de terceros que interactúan con los fondos de los usuarios.

Qué ver después

Qué ver después

  • Actualizaciones oficiales de Matcha Meta sobre la causa raíz y cualquier plan de remedición o compensación para los usuarios afectados.
  • ¿Alguna auditoría externa o revisión por parte de terceros del contrato de routers y cambios en la gobernanza de SwapNet para prevenir recaídas?
  • Monitoreo en cadena de la actividad del puente Base-Ethereum relacionada con este incidente y los movimientos posteriores de fondos.
  • Desarrollos regulatorios y basados en estándares de la industria en torno a la seguridad de DeFi, particularmente marcos de auditoría de contratos inteligentes y controles de aprobación del usuario.

Fuentes y verificación

  • Publicación de Matcha Meta en X advirtiendo a los usuarios que revocaran las aprobaciones de SwapNet después del robo.
  • El consejo de CertiK identificó el exploit como proveniente de una llamada arbitraria en el contrato 0xswapnet que permitió la transferencia de fondos aprobados.
  • La actualización de PeckShield señala aproximadamente $16,8 millones drenados en Base, incluyendo el intercambio de USDC por ETH y el puente hacia Ethereum.
  • El informe anual de seguridad blockchain y lucha contra el blanqueo de capitales (AML) de SlowMist para 2025, que detalla la proporción de incidentes por categoría, incluyendo el 30,5% atribuido a vulnerabilidades de contratos inteligentes y el 24% a compromisos de cuentas.
  • Cointelegraph cobertura del incidente de Truebit, incluyendo una pérdida de 26 millones de dólares y la caída del token TRU, para un contexto más amplio sobre el riesgo asociado a los contratos inteligentes.

Cuerpo del artículo reescrito

Vulnerabilidad de seguridad en Matcha Meta pone de relieve los riesgos de los contratos inteligentes en los ecosistemas DEX

En el último ejemplo de cómo DeFi puede ser comprometida desde dentro, Matcha Meta reveló que se produjo un incidente de seguridad a través de uno de sus principales canales de provisión de liquidez: el contrato de enrutador de SwapNet. La consecuencia para los usuarios es la revocación de las aprobaciones de tokens, que el protocolo instó explícitamente en su publicación pública. La empresa indicó que el incidente no parecía originarse en la infraestructura principal de Matcha Meta, sino en una vulnerabilidad en la capa de enrutador de un socio que otorgaba permisos para mover fondos en nombre de los usuarios.

Estimados iniciales de investigadores de seguridad sitúan el impacto financiero en una banda estrecha. CertiK cuantificó las pérdidas en unos 13,3 millones de dólares, mientras que PeckShield reportó una cifra mínima más alta de 16,8 millones de dólares en la red Base. La discrepancia refleja diferentes métodos de contabilidad en cadena y el momento de los análisis posteriores al incidente, pero ambos análisis confirman una pérdida significativa vinculada a la funcionalidad del enrutador de SwapNet. En Base, el atacante intercambió aproximadamente 10,5 millones de USDC (CRYPTO: USDC) por unos 3.655 ETH (CRYPTO: ETH) y comenzó a transferir los fondos obtenidos hacia Ethereum, según el boletín de PeckShield publicado en X.

Hasta ahora, se han agotado ~16,8 millones de dólares en criptomonedas. En Base, el atacante intercambió ~10,5 millones de USDC por ~3.655 ETH y ha comenzado a trasladar fondos a Ethereum.

La evaluación de CertiK proporciona una explicación técnica del ataque: una llamada arbitraria en el contrato 0xswapnet permitió al atacante retirar fondos que los usuarios ya habían aprobado, efectivamente evitando un robo directo del pool de liquidez de SwapNet y en su lugar aprovechando los permisos otorgados al router. Esta distinción importa porque señala un fallo de gobernanza o diseño en la capa de integración, más que un compromiso en el control de custodia o seguridad propio de Matcha Meta.

Matcha Meta reconoció que la exposición está vinculada a SwapNet y no atribuyó la vulnerabilidad a su propia infraestructura. Los intentos de obtener comentarios sobre mecanismos de compensación o salvaguardas no recibieron respuesta inmediata, dejando a los usuarios afectados sin un camino claro de remedición a corto plazo. El incidente ilustra un perfil de riesgo más amplio para los agregadores de DEX: cuando las asociaciones introducen nuevas interfaces de contrato, los atacantes pueden objetivos flujos autorizados que se encuentran en la intersección entre las aprobaciones de los usuarios y los traslados automáticos de fondos.

El panorama de seguridad más amplio en criptomonedas sigue siendo obstinadamente precario. En 2025, las vulnerabilidades de contratos inteligentes fueron la causa principal de los ataques a criptomonedas, representando el 30,5 % de los incidentes y un total de 56 eventos, según el informe anual de SlowMist. Esta proporción destaca cómo incluso proyectos sofisticados pueden tropezar con errores de casos extremos o configuraciones incorrectas en el código que gobierna la transferencia automática de valor. Los compromisos de cuentas y cuentas sociales comprometidas (como las cuentas X de las víctimas) también representaron una parte considerable de los incidentes, subrayando la naturaleza multivectorial del conjunto de herramientas de los atacantes.

Más allá de los ángulos puramente técnicos, el incidente alimenta un creciente debate sobre el uso de la inteligencia artificial en la seguridad de los contratos inteligentes. Los informes de Diciembre señalaron que agentes de IA comercialmente disponibles descubrieron aproximadamente 4,6 millones de dólares en explotaciones en cadena en tiempo real, utilizando herramientas como Claude Opus 4.5, Claude Sonnet 4.5 y GPT-5 de OpenAI. La aparición de técnicas de exploración y explotación habilitadas por IA añade una capa de complejidad a la evaluación de riesgos tanto para los auditores como para los operadores. Este paisaje de amenazas en evolución refuerza la necesidad de monitoreo continuo, revocación rápida de permisos y medidas defensivas adaptables en los ecosistemas DeFi.

Dos semanas antes del incidente de SwapNet, otra vulnerabilidad de alto perfil en un contrato inteligente provocó pérdidas por 26 millones de dólares para el protocolo Truebit, seguido de una fuerte reacción en el precio del token TRU (CRYPTO: TRU). Tales episodios destacan el hecho de que la capa de contratos inteligentes sigue siendo una superficie de ataque principal para los hackers, incluso cuando otros dominios dentro de la esfera de las criptomonedas—custodia, infraestructura centralizada y componentes fuera de la cadena—también enfrentan amenazas persistentes. El tema recurrente es que la gestión de riesgos debe ir más allá de las auditorías y los programas de recompensas por errores para incluir la gobernanza en vivo, el monitoreo en tiempo real y prácticas prudentes por parte de los usuarios en cuanto a aprobaciones y movimientos entre cadenas.

A medida que el mercado asimila las implicaciones, los observadores destacan que el camino hacia la resiliencia en DeFi depende de salvaguardas en capas y de una respuesta transparente ante incidentes. Aunque la vulnerabilidad de SwapNet parece estar limitada a una integración específica, el incidente refuerza una lección central: incluso los socios de confianza pueden introducir riesgos sistémicos si sus contratos interactúan con los fondos de los usuarios de maneras que evitan las salvaguardas estándar. El registro en la cadena continuaría desarrollándose a medida que los investigadores, Matcha Meta y sus socios de liquidez realicen revisiones forenses y determinen si las víctimas recibirán compensación o mejoras en los controles de riesgo que puedan prevenir incidentes similares en el futuro.

Este artículo fue originalmente publicado como Matcha Meta golpeado por un hackeo del contrato inteligente SwapNet de $16.8M en Noticias de Última Hora sobre Criptomonedas – su fuente confiable para noticias de criptomonedas, noticias de Bitcoin y actualizaciones de blockchain.

Fuente:Mostrar original
Descargo de responsabilidad: La información contenida en esta página puede proceder de terceros y no refleja necesariamente los puntos de vista u opiniones de KuCoin. Este contenido se proporciona solo con fines informativos generales, sin ninguna representación o garantía de ningún tipo, y tampoco debe interpretarse como asesoramiento financiero o de inversión. KuCoin no es responsable de ningún error u omisión, ni de ningún resultado derivado del uso de esta información. Las inversiones en activos digitales pueden ser arriesgadas. Evalúa con cuidado los riesgos de un producto y tu tolerancia al riesgo en función de tus propias circunstancias financieras. Para más información, consulta nuestras Condiciones de uso y la Declaración de riesgos.