Головна
Новини
Детальніше

Matcha Meta постраждала від хакерського атаки на SwapNet Smart Contract на $16,8 млн

iconCryptoBreaking
Поділитися
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
USDC
$1,001-0,01%
This is the logo of the coin.
ETH
$1 825,26-5,16%
AI summary iconКороткий зміст

expand icon
Криптовалютний хакерський атака торкнулася Matcha Meta через роутерний контракт SwapNet, збитки оцінюються в $13–$17 мільйонів. CertiK і PeckShield повідомили про вкрадені $13,3 мільйона і $16,8 мільйона відповідно. Зловмисники обміняли 10,5 мільйона USDC на 3 655 ETH на Base, а потім перевели кошти на Ethereum. Експлойт використовував довільний виклик у контракті 0xswapnet. Matcha Meta сказала, що порушення виникло через SwapNet, а не через власні системи, і порадила користувачам відмінити схвалення. Хакерський атака на біржу підкреслює тривалі ризики безпеки в DeFi.
Matcha Meta підірвався на $16,8 мільйонів Swapnet Smart Contract Hack

Вступ
У неділю Matcha Meta заявила, що порушення безпеки, пов’язане з одним із основних постачальників ліквідності, SwapNet, вплинуло на користувачів, які надали дозволи на роутерний контракт SwapNet. Інцидент підкреслює, як у системах децентралізованих бірж авторизовані компоненти можуть стати векторами атак навіть у разі, якщо ядро інфраструктури залишається цілим. Першочергові публічні оцінки встановлюють збитки в діапазоні приблизно 13 мільйонів до 17 мільйонів доларів, з активністю в блокчейні, що зосереджена на мережі Base та міжмережевими переказами до Ефіріум. Публікація викликала запити від користувачів про скасування схвалень та підвищила увагу до того, як захищені смарт-контракти, що відкриті для зовнішніх маршрутизаторів.

Основні висновки

  • Нарушень виникло через роутерний контракт SwapNet, що призвело до невідкладного заклику користувачів скасувати схвалення, щоб запобігти подальшим втратам.
  • Оцінки вкрадених коштів варіюються: CertiK повідомив про 13,3 мільйони доларів, тоді як PeckShield підраховує щонайменше 16,8 мільйони доларів на мережі Base.
  • На Base атакувальник обміняв приблизно 10,5 мільйонів USDC на приблизно 3 655 ЕТХ і почав перекрістливати кошти до Ефіріум.
  • CertiK приписав вразливість довільному виклику в контракті 0xswapnet, який дозволив атакувальнику перенаправити кошти, схвалені для нього.
  • Matcha Meta вказала, що витік стосувався SwapNet, а не власної інфраструктури, і державні органи ще не надали деталей щодо компенсації чи заходів безпеки.
  • Слабкості смарт-контрактів продовжують бути основним чинником експлуатації криптовалют, що становить 30,5% інцидентів у 2025 році, за щорічним звітом SlowMist.

Згадані тікери

Згадані тікери: Криптовалюта → USDC, ЕТХ, TRU

Сенс

Сенс: Нейтральний

Вплив на ціну

Вплив на ціну: Негативно. Цей порушення підкреслює триваючі ризики безпеки в DeFi та може вплинути на ризик-орієнтацію щодо відповідального надання ліквідності та управління підтверджуванням.

Ідея для торгівель (Не фінансовий порада)

Ідея для торгівлі (Не фінансовий порадник): Затримка. Інцидент є специфічним для шляху схвалення маршрутизатора і не вказує безпосередньо на більш широкий системний ризик для всіх протоколів DeFi, але він вимагає обережності у використанні управління схваленням і ліквідністю між ланцюгами.

Ринковий контекст

Ринковий контекст: Подія відбувається на тлі підвищеної уваги до безпеки DeFi та міжланкової активності, де постачальники ліквідності та агрегатори все більше залежать від модулярних компонентів. Вона також відбувається на тлі змін у дискусіях про ланкове управління, перевірки та необхідність надійних заходів безпеки, поки відомі протоколи та нові учасники змагаються за довіру користувачів.

Чому це має значення

Чому це має значення

Інциденти з безпекою в агрегаторах DeFi демонструють постійні ризики, які виникають, коли взаємодіють кілька шарів протоколів. У цьому випадку порушення було пов'язане з вразливістю в роутерному контракті SwapNet, а не з основною архітектурою Matcha Meta, що підкреслює, як довіра розподіляється між партнерськими компонентами в екосистемі з можливістю комбінування. Для користувачів цей інцидент є нагадуванням про те, щоб регулярно переглядати та відміняти підтвердження токенів, особливо після підозр на незвичайні дії в мережі.

Фінансовий вплив, хоча він все ще змінюється, підкреслює важливість ретельного відбору зовнішніх постачальників ліквідності та необхідність моніторингу підтверджувальних потоків в реальному часі. Те, що зловмисники змогли конвертувати значну частину вкрадених коштів у стейбілкоїни, а потім перенести активи на Ethereum, підкреслює міжланкові динаміки, які ускладнюють відстежуваність після інциденту та зусилля з повернення коштів. Біржі та дослідники безпеки наголошують про цінність гранулярних, обмежених за часом дозволів та можливостей раннього відкликання, щоб обмежити дію таких експлойтів.

З погляду ринку, ця подія додається до більш широкого наведення про хрупкість фінансів без дозволу та триваючу гонку за впровадженням надійних, перевірених захистів на різних рівнях екосистем DeFi. хоча це не системна критика Matcha Meta, інцидент посилює виклики до стандартизованих перевірок безпеки роутерних контрактів та більш чіткої відповідальності для сторонніх модулів, які взаємодіють зі засобами користувачів.

Що подивитися далі

Що подивитися далі

  • Офіційні оновлення Matcha Meta щодо причини проблеми та плани виправлення або компенсації для впливених користувачів.
  • Чи були здійснені сторонні аудити або огляди третіх осіб у відношенні до угоди про маршрутизатор SwapNet та змін управляння, щоб запобігти повторенню.
  • Моніторинг діяльності моста Base-Ethereum у рамках цієї події та подальших рухів коштів.
  • Регуляторні та відповідні промисловим стандартам розробки в галузі безпеки DeFi, зокрема фреймворки аудиту смарт-контрактів та контроль схвалення користувачем.

Джерела та перевірка

  • Публікація Matcha Meta на X з попередженням для користувачів про те, щоб скасувати погодження SwapNet після витоку даних.
  • CertiK рада виявила вразливість, яка виникла через довільний виклик у контракті 0xswapnet, що дозволяв переказати схвалені кошти.
  • Оновлення PeckShield, яке відзначає, що з Base витікло приблизно 16,8 мільйона доларів, включаючи обмін USDC на ETH та переклад на Ethereum.
  • Річний звіт SlowMist 2025 року з безпеки блокчейну та боротьби з відмиванням грошей, у якому детально описано частку інцидентів за категоріями, включаючи 30,5% випадків, пов'язаних з вразливостями у смарт-контрактах, та 24% — через компромітування облікових записів.
  • Cointelegraph охоплення інциденту Truebit, включаючи збиток у розмірі 26 мільйонів доларів та падіння токена TRU, для більш широкого контексту щодо ризиків, пов’язаних із використанням смарт-контрактів.

Переписане тіло статті

Неприємна подія на Matcha Meta підкреслює ризики смарт-контрактів у екосистемах DEX

У найновішому прикладі того, як DeFi може бути скомпрометовано зсередини, Matcha Meta заявила, що порушення безпеки відбулося через один із основних шляхів надання ліквідності — роутерний контракт SwapNet. Поточна наслідок для користувачів — це відкликання схвалень токенів, яке протокол чітко рекомендував у своєму публічному повідомленні. Порушення, згідно з заявою компанії, не здавалося, що виникло з основної інфраструктури Matcha Meta, але, натомість, через вразливість у шарі роутера партнера, який давав дозвіл на рух коштів від імені користувачів.

Попередні оцінки з боку дослідників безпеки встановили фінансовий вплив у вузькому діапазоні. CertiK кількісно визначив збитки на рівні приблизно 13,3 мільйона доларів, тоді як PeckShield повідомив про більш високу мінімальну цифру в 16,8 мільйона доларів на мережі Base. Розбіжність відображає різні методи обліку в блокчейні та час проведення оглядів після інциденту, але обидва аналізи підтверджують значний збиток, пов’язаний з функціоналом роутера SwapNet. На Base, згідно з бюлетенем PeckShield, опублікованим на X, зловмисник, згідно з повідомленням, поміняв приблизно 10,5 мільйона USDC (CRYPTO: USDC) на приблизно 3 655 ETH (CRYPTO: ETH) і почав перекладати отримані кошти в сторону Ethereum.

Наразі зникло криптовалюти на ~$16,8 млн. На Base атакувальник обміняв ~10,5 млн USDC на ~3 655 ETH і почав переводити кошти на Ethereum.

Оцінка CertiK надає технічне пояснення для експлуатації: довільний виклик у контракті 0xswapnet дозволив атакувальнику витягти кошти, які користувачі вже схвалили, фактично обійшовши прямий крадіжку з рідинного пулів SwapNet і скориставшись правами, наданими роутеру. Ця відмінність має значення, тому що вказує на проблему управління або проекту на рівні інтеграції, а не на порушення власної опіки або захисту Matcha Meta.

Matcha Meta визнала, що витік пов'язаний із SwapNet, і не звинуватила вразливість у власній інфраструктурі. Спроби отримати коментар щодо механізмів компенсації або запобіжних заходів не отримали відгуку, залишивши постраждалих користувачів без чіткого шляху виправлення ситуації у найближчому майбутньому. Інцидент ілюструє більш широкий профіль ризиків для агрегаторів DEX: коли партнерства вводять нові інтерфейси контрактів, зловмисники можуть цілити в дозволені потоки, які розташовані на перетині підтверджень користувачів та автоматичних переказів коштів.

Безпека в криптовалютному просторі залишається вкрай незмінно небезпечною. За даними щорічного звіту SlowMist, у 2025 році вразливості смарт-контрактів були основною причиною експлуатацій криптовалют, становлячи 30,5% інцидентів із загальною кількістю 56 подій. Ця частка підкреслює, наскільки навіть складні проекти можуть бути зруйновані через крайові помилки або неправильні налаштування в коді, який керує автоматичним переказом коштів. Порушення облікових записів і компроміс соціальних облікових записів (наприклад, облікових записів жертв на X) також становили значну частку інцидентів, що підкреслює багатофакторний характер інструментів атакувальників.

Поряд з чисто технічними аспектами, інцидент стосується зростаючого дискусійного простору щодо використання штучного інтелекту в безпеці смарт-контрактів. Звіти DECEMBER зазначали, що комерційно доступні агенти штучного інтелекту виявили приблизно 4,6 мільйона доларів вартості використань у блокчейні в реальному часі, використовуючи інструменти, такі як Claude Opus 4.5, Claude Sonnet 4.5 та GPT-5 від OpenAI. Поява технік дослідження та експлуатації, заснованих на штучному інтелекті, додає шар складності оцінці ризиків як для аудиторів, так і для операторів. Цей еволюційний ландшафт загроз підкреслює необхідність постійного моніторингу, швидкого відкликання дозволів та адаптивних захисних заходів у екосистемах DeFi.

Дві тижні до інциденту SwapNet інша високопрофільна вразливість у смарт-контрактах призвела до втрат у розмірі 26 мільйонів доларів для протоколу Truebit, після чого виник різкий рух ціни у токені TRU (CRYPTO: TRU). Такі епізоди підкреслюють той факт, що шар смарт-контрактів залишається основною мішенню для хакерів, навіть якщо інші області криптовалютної сфери — зберігання, централизована інфраструктура та компоненти поза ланцюгом — також стикаються з постійними загрозами. Постійна тема полягає в тому, що управління ризиками має виходити за межі аудитів і баг-бонусів, включаючи живе управління, моніторинг у реальному часі та обережні дії користувачів у сфері підтверджень і міжланцюгових операцій.

Поки ринок засвоює наслідки, спостерігачі підкреслюють, що шлях до стійкості в DeFi залежить від багаторівневих захистів і прозорої реакції на інциденти. Незважаючи на те, що вразливість SwapNet здається обмеженою конкретною інтеграцією, цей інцидент підкреслює центральний урок: навіть довірені партнери можуть внести системний ризик, якщо їхні контракти взаємодіють зі засобами користувачів у таких способах, що обходять звичайні захисти. Запис у блокчейн продовжуватиметься, поки детективи, Matcha Meta та її партнери з рідинності здійснюватимуть судово-експертні огляди і встановлятимуть, чи отримають потерпілі компенсацію або покращення контролю ризиків, які можуть запобігти подібним інцидентам у майбутньому.

Цей статті було спочатку опубліковано як Matcha Meta постраждала від хакерського атаки на SwapNet Smart Contract на $16,8 млн у Криптовалютні новини про злам – ваш надійний джерело новин про криптовалюту, новини про біткойн та оновлення блокчейну.

Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації. Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.