イントロダク
日曜日に、マッチャ・メタは、主要な流動性提供業者であるスワップネットに関連するセキュリティ侵害により、スワップネットのルーターコントラクトへの承認を許可したユーザーが被害を受けたことを明らかにした。この出来事は、コアインフラが健全なままであっても、分散型取引所エコシステム内の権限付きコンポーネントが攻撃のベクトルとなる可能性があることを強調している。初期の公的な評価では、損失額は約1,300万ドルから1,700万ドルの範囲にあると推定され、チェーン上の活動はベースネットワークを中心に、チェーン間の移動が行われている。 イーサリアムこの開示は、ユーザーが承認を取り消すよう求めるプロンプトを引き起こし、外部ルーターにさらされるスマートコントラクトがどのように保護されているかについての監査を厳しくした。
キーポイント
- この侵害はSwapNetのルーターコントラクトを経由して発生し、さらなる損失を防ぐためにユーザーに対し緊急に承認を取り消すよう呼びかけている。
- 盗まれた資金の推定額は異なっており、CertiKは約1,330万ドルと報告したが、PeckShieldはBaseネットワークで少なくとも1,680万ドルと算出している。
- Baseで、攻撃者は約1050万USDCを約3,655と交換した イーサ 資金の橋渡しを始めた イーサリアム。
- CertiKは、この脆弱性を0xswapnetコントラクト内の任意の呼び出しに起因するものとし、これにより攻撃者がすでに承認された資金を転送できるようになったと説明した。
- マタ・メタは、今回の暴露が自社のインフラではなくスワップネットと関連していることを示唆し、当局はまだ補償や安全策に関する詳細を提供していない。
- スマートコントラクトの弱点は引き続き、暗号通貨の悪用の主要な要因であり続け、スローミストの年次セキュリティレポートによると、2025年のインシデントの30.5%を占めている。
言及されたティッカー
言及されたティッカー: 暗号通貨 → USDC、 イーサ、TRU
センチメント
感情: ニュートラル
価格への影響
価格への影響: ネガティブです。この侵害はDeFiにおける継続的なセキュリティリスクを強調し、責任ある流動性供給および承認管理に関するリスク感覚に影響を与える可能性があります。
トレーディングアイデア(金融アドバイスではありません)
トレーディングアイデア(金融アドバイスではありません): ホールド。この出来事はルーター承認プロセスに特有のものであり、すべてのDeFiプロトコルに広範なシステムリスクがあるとは直接言えないが、承認管理およびクロスチェーン流動性については注意が必要である。
マーケットコンテキスト
マーケットコンテキスト: イベントは、DeFiのセキュリティやクロスチェーン活動への関心が高まる中で開催される。流動性提供者やアグリゲイターがますますモジュール式コンポーネントに依存する中、こうした動きが背景にある。また、チェーン上ガバナンスや監査、ブルーチッププロトコルや新参者プロトコルがユーザーの信頼を競い合う中で、強化された安全対策の必要性についての議論が進化していることも背景にある。
なぜ重要なのか
なぜ重要なのか
DeFiアグリゲーターにおけるセキュリティインシデントは、複数のプロトコルレイヤーが相互作用する際に依然として存在するリスクの表面を示している。今回の件では、侵害はMatcha Metaのコアアーキテクチャではなく、SwapNetのルーターコントラクトにある脆弱性に起因するものであり、構成可能なエコシステムにおいて、信頼がパートナーコンポーネントにどのように分散されているかを強調している。ユーザーにとっては、この出来事は、特にチェーン上の異常な活動が疑われる後、トークンの承認を定期的に確認し、必要に応じて取り消すことを思い出させてくれる。
財務的な影響はまだ進行中であるが、外部の流動性提供者に対する厳格な審査の重要性と、承認フローのリアルタイム監視の必要性を再認識させている。攻撃者が盗まれた資金の大部分をステーブルコインに換え、その後資産をイーサリアムにブリッジしたという事実は、事後での追跡性や損害賠償の取り組みを複雑にするクロスチェーンのダイナミクスを浮き彫りにしている。取引所およびセキュリティ研究者は、こうした攻撃の影響範囲を最小限に抑えるために、粒度の細かい時間制限付きの権限スコープと早期取り消し機能の価値を強調している。
市場の観点から見れば、この出来事は、無許可型ファイナンスの脆さに関する広範な物語の一環であり、DeFiエコシステムの各レイヤーにわたって堅牢で監査可能な安全対策を実装するための継続的な競争を強調している。Matcha Metaに対する体系的な非難ではないにせよ、この出来事は、ルーターコントラクトの標準化されたセキュリティ監査や、ユーザー資産と相互作用するサードパーティモジュールに対する明確な責任の在り方を求める声を高めている。
次に見るべきもの
次に見るべきもの
- マタ・メタの公式発表による原因と、影響を受けたユーザーに対する是正策や補償計画について。
- SwapNetのルータ契約およびガバナンス変更についての外部監査または第三者のレビューを行い、再発防止を図る。
- この出来事およびその後の資金移動に関連するBaseからイーサリアムブリッジ活動のオンチェーン監視。
- DeFiセキュリティに関する規制および業界標準の発展、特にスマートコントラクトの監査フレームワークおよびユーザー承認制御。
ソースと検証
- Xでマタ・メタが、侵害の後スワップネットの承認を取り消すようユーザーに警告した投稿。
- CertiKのアドバイザリは、このexploitが0xswapnetコントラクト内の任意のコールから生じており、承認済み資金の送金を可能にしていたと特定している。
- PeckShieldのアップデートで、Baseで約1,680万ドルが流出したことが記載されており、その中にはUSDCをETHに交換し、Ethereumへブリッジする行為が含まれている。
- スローミストの2025年ブロックチェーンセキュリティおよびAML年次報告書は、インシデントの分野別のシェアを詳述しており、スマートコントラクトの脆弱性が30.5%、アカウントの侵害が24%を占めている。
- コインテレグラフ Truebit事件に関する報道、2,600万ドルの損失およびTRUトークンの下落を含め、スマートコントラクトのリスク暴露についての広範な文脈を提供する。
リライトされた記事本文
マチャメタでのセキュリティ侵害は、DEXエコシステムにおけるスマートコントラクトのリスクを強調する
DeFiが内部から侵害される最新の例として、Matcha Metaは、主要な流動性供給経路の1つであるSwapNetのルーターコントラクトを通じてセキュリティ侵害が発生したことを明らかにした。ユーザーに影響を与える結果として、トークンの承認が取り消され、プロトコルは公開投稿で明確にその措置を呼びかけていた。会社は、この侵害がMatcha Metaのコアインフラストラクチャから発生したわけではないと示唆し、代わりにパートナーのルーターレイヤーにある脆弱性から生じたもので、その脆弱性によりユーザーの代わりに資金を移動させる権限が与えられていたと説明した。
セキュリティ研究者による初期の推定では、財務的な影響は狭い範囲にとどまるとされている。CertiKは損失額を約1,330万ドルと算出し、PeckShieldはBaseネットワークにおいて最低でも1,680万ドルというより高い数値を報告している。この差異は、チェーン上の会計方法の違いと事後レビューのタイミングによるものだが、両方の分析はSwapNetのルーター機能に関連する大きな損失を確認している。Baseにおいて、攻撃者はPeckShieldがXに投稿した公告によると、約1,050万USDC(暗号通貨:USDC)を約3,655ETH(暗号通貨:ETH)と交換し、その利益をイーサリアムに向けてブリッジする作業を開始したとされている。
これまでに、約1,680万ドル相当の暗号資産が流出しています。Baseでは、攻撃者が約1,050万USDCを約3,655ETHと交換し、資金のEthereumへのブリッジを開始しました。
CertiKの評価は、この攻撃について技術的な説明を提供している。0xswapnetコントラクトにおける任意のコールにより、攻撃者はユーザーがすでに承認した資金を引き出すことができ、これによりSwapNetの流動性プールからの直接的な盗難を回避し、ルーターに付与された権限を利用して資金を引き出している。この区別は重要である。これはMatcha Meta自身の運用管理やセキュリティ対策の侵害ではなく、統合レイヤーにおけるガバナンスまたは設計上の欠陥を示唆しているからである。
マッチャ・メタは、今回の情報漏洩がスワップネットと関連していることを認め、自社のインフラストラクチャに脆弱性があるとは言っていない。補償メカニズムや安全策についてコメントを求める試みは直ちに返答されず、影響を受けたユーザーたちは近期内に明確な是正策が示されないままである。この事案は、DEXアグリゲーターの広範なリスクプロファイルを示している。パートナーシップが新たなコントラクトインターフェースを導入する際、攻撃者はユーザーの承認と自動資金移動の両者が交差する権限付きフローを狙う可能性があるのだ。
暗号資産の広範なセキュリティ環境は依然として頑なに危険なままである。SlowMistの年次報告書によると、2025年においてスマートコントラクトの脆弱性が暗号資産の悪用の主な原因となり、全体の30.5%を占め、合計56件の出来事があった。この割合は、高度なプロジェクトでさえ、自動的な価値移転を管理するコードにおけるエッジケースのバグや誤設定によってもたらされる問題に陥り得ることを示している。アカウントの乗っ取りや、被害者のXアカウントなどのソーシャルアカウントの乗っ取りも、出来事の大きな割合を占め、攻撃者のツールキットが多様なベクトルを持つことを強調している。
純粋に技術的な側面を超えて、この出来事はスマートコントラクトのセキュリティにおける人工知能の利用に関する議論を広げています。12月の報告書では、商用のAIエージェントがClaude Opus 4.5、Claude Sonnet 4.5、OpenAIのGPT-5などのツールを活用し、オンチェーンのエクスプロイトをリアルタイムで約460万ドル相当発見したとされています。AIを活用した探査およびエクスプロイト技術の登場は、監査者と運用者双方のリスク評価に複雑さを加えています。この進化する脅威の状況は、DeFiエコシステムにおいて継続的な監視、権限の迅速な取消し、そして適応可能な防御策の必要性を再認識させています。
SwapNetの出来事の2週間前、別の高額なスマートコントラクトの脆弱性により、Truebitプロトコルで2,600万ドルの損失が発生し、TRUトークン(暗号通貨: TRU)の価格は急落した。このような出来事は、暗号通貨分野の他の領域(資産管理、中央集権型インフラ、チェーン外コンポーネントなど)も継続的な脅威にさらされていることと同様に、スマートコントラクトレイヤーが引き続きハッカーにとって主要な攻撃対象であることを強調している。繰り返し見られる傾向は、リスク管理が単なる監査やバグバウンティにとどまらず、ライブガバナンス、リアルタイム監視、承認やクロスチェーン移動に関する慎重なユーザーの実践を含める必要があるということである。
市場がその含意を消化する中、観測者たちはDeFiにおける回復力の道筋が、層別化された安全策と透明なインシデント対応に依存していることを強調しています。SwapNetの脆弱性は特定の統合に限定されているように見えますが、この出来事は中心的な教訓を再確認しています。すなわち、信頼されているパートナーであっても、その契約がユーザー資産を標準的な安全策を迂回する方法で取り扱う場合、システム的リスクをもたらす可能性があるということです。調査者、Matcha Metaおよびその流動性パートナーが法医学的レビューを進め、被害者が補償を受けることになるか、あるいは今後同様の出来事を防ぐためのリスク管理の強化が図られるかが明らかになるにつれて、オンチェーン記録も引き続き明らかになっていくでしょう。
この記事はもともと出版されました マタ・メタ、1,680万ドル相当のスワップネットスマートコントラクトハッキングに見舞われる で 暗号通貨Breaking News -あなたの信頼できる暗号通貨ニュース、ビットコインニュース、ブロックチェーン更新情報のソースです。