Accueil
Actualités
Détails

Matcha Meta touché par un piratage de contrat intelligent SwapNet de 16,8 millions de dollars

iconCryptoBreaking
Partager
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
USDC
$1,001-0,01 %
This is the logo of the coin.
ETH
$1 825,16-5,17 %
AI summary iconRésumé

expand icon
Un piratage crypto a touché Matcha Meta via le contrat de routeur de SwapNet, avec des pertes estimées à 13 à 17 millions de dollars. CertiK et PeckShield ont respectivement rapporté que 13,3 millions et 16,8 millions de dollars avaient été volés. Les attaquants ont échangé 10,5 millions de USDC contre 3 655 ETH sur Base avant de transférer les fonds vers Ethereum. L'exploit impliquait un appel arbitraire dans le contrat 0xswapnet. Matcha Meta a indiqué que la violation provenait de SwapNet, et non de ses propres systèmes, et a demandé aux utilisateurs de révoquer leurs autorisations. Le piratage de l'échange met en lumière les risques de sécurité persistants dans le DeFi.
Matcha Meta Touché Par Un Piratage de 16,8 Millions de Dollars du Smart Contract Swapnet

Introduction
Le dimanche, Matcha Meta a révélé qu'une violation de la sécurité liée à l'un de ses principaux fournisseurs de liquidité, SwapNet, avait compromis les utilisateurs ayant accordé des autorisations au contrat de routeur de SwapNet. L'incident souligne comment les composants autorisés au sein des écosystèmes d'échanges décentralisés peuvent devenir des vecteurs d'attaque même lorsque l'infrastructure centrale reste intacte. Les premières évaluations publiques établissent les pertes dans une fourchette d'environ 13 à 17 millions de dollars, l'activité sur la chaîne se concentrant sur le réseau Base et les mouvements interchaînes vers EthereumLa divulgation a suscité des demandes des utilisateurs pour révoquer leurs approbations et a accru l'examen de la manière dont les contrats intelligents exposés aux routeurs externes sont protégés.

Points clés

  • La faille provenait du contrat de routeur de SwapNet, ce qui a entraîné un appel urgent aux utilisateurs pour révoquer les approbations afin d'empêcher d'autres pertes.
  • Les estimations des fonds volés varient : CertiK a rapporté environ 13,3 millions de dollars, tandis que PeckShield évalue à au moins 16,8 millions de dollars sur le réseau Base.
  • Sur Base, l'attaquant a échangé environ 10,5 millions de USDC contre environ 3 655 ETH et a commencé à transférer des fonds vers Ethereum.
  • CertiK a attribué la vulnérabilité à un appel arbitraire dans le contrat 0xswapnet, ce qui a permis à l'attaquant de transférer des fonds déjà approuvés.
  • Matcha Meta a indiqué que l'exposition était liée à SwapNet plutôt qu'à son propre infrastructure, et les responsables n'ont pas encore fourni de détails sur les compensations ou les mesures de protection.
  • Les faiblesses des contrats intelligents restent le principal facteur des attaques crypto, représentant 30,5 % des incidents en 2025, selon le rapport annuel de sécurité de SlowMist.

Symboles mentionnés

Tickers mentionnés : Crypto → USDC, ETH, VRAI

Sentiment

Sentiment : Neutre

Impact sur le prix

Impact sur le prix : Négatif. La violation met en évidence les risques de sécurité persistants dans le DeFi et peut influencer la perception du risque concernant la fourniture responsable de liquidités et la gestion des autorisations.

Idée de trading (Pas un conseil financier)

Idée de trading (Pas d'avis financier) : Attendez. L'incident est spécifique à un chemin d'approbation de passerelle et ne signifie pas directement un risque systémique plus large pour tous les protocoles DeFi, mais il justifie une prudence concernant la gestion des approbations et la liquidité interchaînes.

Contexte du marché

Contexte du marché : L'événement survient alors que l'attention portée à la sécurité du DeFi et à l'activité interchaîne est accrue, où les fournisseurs de liquidité et les agrégateurs s'appuient de plus en plus sur des composants modulaires. Il s'inscrit également dans un contexte de discussions émergentes sur la gouvernance en chaîne, les audits et la nécessité de mesures de protection solides, alors que des protocoles de premier plan et de nouveaux entrants rivalisent pour la confiance des utilisateurs.

Pourquoi cela importe

Pourquoi cela importe

Les incidents de sécurité survenus chez les agrégateurs DeFi illustrent les risques persistants présents lorsqu'interagissent plusieurs couches de protocoles. Dans ce cas, la faille a été attribuée à une vulnérabilité dans le contrat de routeur de SwapNet plutôt qu'à l'architecture centrale de Matcha Meta, soulignant ainsi comment la confiance est répartie entre les composants partenaires au sein d'un écosystème composable. Pour les utilisateurs, cet épisode constitue un rappel de vérifier régulièrement et de révoquer les autorisations de jetons, notamment après tout soupçon d'activité anormale sur la chaîne.

L'impact financier, bien qu'en cours d'évolution, souligne l'importance d'un examen rigoureux des fournisseurs externes de liquidité et la nécessité d'un suivi en temps réel des flux d'autorisation. Le fait que les attaquants aient pu convertir une part importante des fonds volés en stablecoins et transférer ensuite les actifs vers Ethereum met en lumière les dynamiques interchaînes qui compliquent la traçabilité et les efforts de restitution après l'incident. Les échanges et les chercheurs en sécurité soulignent la valeur des autorisations détaillées, limitées dans le temps, et des capacités de révocation précoce afin de limiter l'impact de tels exploits.

D'un point de vue commercial, cet épisode s'inscrit dans un récit plus large sur la fragilité de la finance sans autorisation et la course continue à la mise en œuvre de mesures de sécurité robustes et auditées à travers les couches des écosystèmes DeFi. Bien qu'il ne constitue pas un reproche systémique envers Matcha Meta, l'incident intensifie les appels à des audits de sécurité normalisés des contrats de routage et à une responsabilité plus claire des modules tiers qui interagissent avec les fonds des utilisateurs.

Quoi regarder ensuite

Quoi regarder ensuite

  • Mises à jour officielles de Matcha Meta sur la cause principale et tout plan de correction ou de compensation pour les utilisateurs affectés.
  • Toutes audits externes ou examens par des tiers du contrat de routeur de SwapNet et des modifications de gouvernance visant à empêcher les récidives.
  • Surveillance en chaîne de l'activité du pont Base-vers-Ethereum liée à cet incident et aux mouvements de fonds ultérieurs.
  • Développements réglementaires et conformes aux normes de l'industrie concernant la sécurité du DeFi, en particulier les cadres d'audit des contrats intelligents et les contrôles d'approbation des utilisateurs.

Sources & vérification

  • Publication de Matcha Meta sur X avertissant les utilisateurs de révoquer leurs autorisations SwapNet après la violation.
  • Conseil de CertiK identifiant l'exploit comme provenant d'un appel arbitraire dans le contrat 0xswapnet qui permettait le transfert de fonds approuvés.
  • Mise à jour de PeckShield notant environ 16,8 millions de dollars drainés sur Base, y compris l'échange de USDC contre ETH et le transfert vers Ethereum.
  • Rapport annuel 2025 sur la sécurité blockchain et le combat contre le blanchiment d'argent de SlowMist détaillant la part des incidents par catégorie, incluant 30,5 % attribués aux vulnérabilités de contrats intelligents et 24 % aux compromissions de comptes.
  • Cointelegraph couverture de l'incident Truebit, y compris une perte de 26 millions de dollars et la baisse du jeton TRU, pour un contexte plus large sur l'exposition au risque des contrats intelligents.

Corps de l'article réécrit

Violation de sécurité chez Matcha Meta met en évidence les risques des contrats intelligents dans les écosystèmes DEX

Dans le dernier exemple montrant comment la finance décentralisée (DeFi) peut être compromise de l'intérieur, Matcha Meta a révélé qu'une violation de la sécurité s'était produite via l'un de ses principaux canaux d'approvisionnement en liquidité — le contrat de routeur de SwapNet. La conséquence pour les utilisateurs est la révocation des approbations de jetons, que le protocole a explicitement recommandée dans son message public. La violation ne semblait pas provenir de l'infrastructure centrale de Matcha Meta, a indiqué l'entreprise, mais plutôt d'une vulnérabilité au niveau du routeur d'un partenaire qui avait accordé des permissions pour déplacer des fonds au nom des utilisateurs.

Les premières estimations des chercheurs en sécurité situent l'impact financier dans une fourchette étroite. CertiK a quantifié les pertes à environ 13,3 millions de dollars, tandis que PeckShield a rapporté un chiffre minimum plus élevé de 16,8 millions de dollars sur le réseau Base. La divergence reflète différentes méthodes d'évaluation des comptes sur la chaîne et le moment des analyses post-incident, mais les deux analyses confirment une perte significative liée à la fonctionnalité du routeur de SwapNet. Sur Base, l'attaquant aurait échangé environ 10,5 millions de USDC (CRYPTO : USDC) contre environ 3 655 ETH (CRYPTO : ETH) et aurait commencé à transférer les gains vers Ethereum, selon le bulletin de PeckShield publié sur X.

Jusqu'à présent, ~16,8 millions de dollars de crypto-monnaie ont été dérobés. Sur Base, l'attaquant a échangé ~10,5 millions de USDC contre ~3 655 ETH et a commencé à transférer les fonds vers Ethereum.

L'évaluation de CertiK fournit une explication technique de l'exploit : un appel arbitraire dans le contrat 0xswapnet a permis à l'attaquant de retirer des fonds que les utilisateurs avaient déjà approuvés, contournant ainsi efficacement un vol direct depuis le pool de liquidité de SwapNet et utilisant plutôt les autorisations accordées au routeur. Cette distinction est importante car elle indique un défaut de gouvernance ou de conception au niveau de l'intégration, plutôt qu'une violation des mesures de garde ou de sécurité propres à Matcha Meta.

Matcha Meta a reconnu que l'exposition était liée à SwapNet et n'a pas attribué la vulnérabilité à son propre infrastructure. Les tentatives de se faire communiquer des informations sur les mécanismes de compensation ou les mesures de protection n'ont pas reçu de réponse immédiate, laissant les utilisateurs affectés sans solution claire à court terme. L'incident illustre un profil de risque plus large pour les agrégateurs de DEX : lorsqu'une collaboration introduit de nouvelles interfaces de contrat, les attaquants peuvent cibler des flux autorisés situés à l'intersection des approbations des utilisateurs et des transferts automatiques de fonds.

Le paysage de la sécurité dans le domaine de la cryptomonnaie reste obstinément précaire. En 2025, les vulnérabilités des contrats intelligents ont été la cause principale des attaques dans le secteur de la cryptomonnaie, représentant 30,5 % des incidents et un total de 56 événements, selon le rapport annuel de SlowMist. Cette part met en lumière le fait que même des projets sophistiqués peuvent être perturbés par des bogues ou des mauvaises configurations dans le code qui gère le transfert automatique de valeur. Les compromissions de comptes et les comptes sociaux compromis (tels que les comptes X des victimes) ont également représenté une part importante des incidents, soulignant la nature multivectorielle de l'arsenal des attaquants.

Au-delà des aspects purement techniques, l'incident alimente un débat croissant autour de l'utilisation de l'intelligence artificielle dans la sécurité des contrats intelligents. Les rapports de DECEMBER ont noté que des agents d'IA commercialement disponibles ont découvert environ 4,6 millions de dollars d'exploits sur la chaîne en temps réel, en utilisant des outils tels que Claude Opus 4.5, Claude Sonnet 4.5 et GPT-5 d'OpenAI. L'émergence de techniques de sondage et d'exploitation assistées par l'IA ajoute une couche de complexité à l'évaluation des risques, aussi bien pour les auditeurs que pour les opérateurs. Ce paysage menaçant en évolution renforce la nécessité d'une surveillance continue, d'une révocation rapide des autorisations et de mesures défensives adaptatives au sein des écosystèmes DeFi.

Deux semaines avant l'incident SwapNet, une autre vulnérabilité de contrat intelligent de haut niveau a entraîné une perte de 26 millions de dollars pour le protocole Truebit, suivie d'une réaction forte sur le prix du jeton TRU (CRYPTO : TRU). Ces épisodes soulignent le fait que la couche des contrats intelligents reste une cible privilégiée pour les hackers, même si d'autres domaines au sein de l'écosystème crypto — la garde des actifs, les infrastructures centralisées et les composants hors chaîne — font également face à des menaces persistantes. Le thème récurrent est que la gestion des risques doit aller au-delà des audits et des programmes de récompenses pour bugs, pour inclure une gouvernance active, un suivi en temps réel, et des pratiques prudentes des utilisateurs concernant les autorisations et les mouvements entre chaînes.

Alors que le marché digère les implications, les observateurs soulignent que la voie vers la résilience dans le DeFi repose sur des protections en couches et une réponse transparente aux incidents. Bien que la vulnérabilité de SwapNet semble limitée à une intégration particulière, l'incident renforce une leçon centrale : même des partenaires de confiance peuvent introduire un risque systémique si leurs contrats interagissent avec les fonds des utilisateurs de manière à contourner les protections standard. L'enregistrement sur la chaîne continuera de se dérouler à mesure que les enquêteurs, Matcha Meta et ses partenaires en liquidité mènent des examens forensiques et déterminent si les victimes recevront une compensation ou si des améliorations des contrôles de risque seront apportées afin d'empêcher des incidents similaires à l'avenir.

Cet article a été initialement publié comme Matcha Meta touché par un piratage de contrat intelligent SwapNet de 16,8 millions de dollars sur Actualités brèves sur les cryptomonnaies – votre source de confiance pour les actualités sur le crypto, les actualités sur le Bitcoin et les mises à jour sur la blockchain.

Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations. Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.