DEX-агрегатор подвергся атаке на сумму $16,8 млн из-за обхода процесса одобрения SwapNet

• Рекламное объявление -

Децентрализованный агрегатор биржевого обмена Matcha Meta подтвердил инцидент безопасности, связанный с интеграцией SwapNet, в результате чего, по оценкам, произошло хищение на $16.8 млн.

Об утечке впервые сообщила компания по блокчейн-безопасности PeckShield, а дальнейший технический анализ позже предоставила CertiK.

Что пошло не так

Согласно выводам, которыми поделились исследователи безопасности, эксплойт был нацелен конкретно на пользователей, которые отключили функцию Matcha Meta «Одноразовое одобрение». Отказавшись от нее, эти пользователи выдали постоянные разрешения напрямую контракту маршрутизатора SwapNet, создав поверхность атаки, которая затем была использована злоумышленниками.

#PeckShieldAlert Matcha Meta сообщила об инциденте безопасности, связанном со SwapNet. Пользователи, отключившие «Одноразовые одобрения», находятся под риском.

На данный момент из криптовалюты было выведено около ~$16.8M.

На #Base злоумышленник обменял ~10.5M $USDC на ~3,655 $ETH и начал переводить средства в… pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) January 26, 2026

CertiK определила первопричину как уязвимость «произвольного вызова» (arbitrary call) в контракте SwapNet. Этот недостаток позволил атакующему инициировать несанкционированные переводы из кошельков, которые ранее одобрили маршрутизатор, фактически обходя обычные защитные меры.

Движение средств и масштабы

Данные on-chain показывают, что атакующий на Base обменял примерно $10.5 млн в USDC на около 3,655 ETH, прежде чем перевести активы в Ethereum через мост. Похоже, кроссчейн-перемещение было задумано для усложнения отслеживания и усилий по восстановлению.

Важно, что инцидент не затронул всех пользователей Matcha. Воздействие было ограничено кошельками, которые вручную отключили одноразовые одобрения и выдали прямые разрешения контрактам SwapNet.

                Биткоин обошел золото и серебро в опросе на инвестиции $100,000

Меры экстренного реагирования

В ответ на эксплойт Matcha Meta предприняла несколько немедленных шагов:

• Контракты SwapNet были приостановлены, чтобы предотвратить дальнейшие потери.
• Пользователям настоятельно рекомендовали отозвать существующие одобрения, особенно для контракта маршрутизатора SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• Платформа убрала возможность отключать одноразовые одобрения, чтобы снизить подобные риски в будущем.

Инцидент подчеркивает компромиссы безопасности, связанные с постоянными одобрениями контрактов, и подтверждает важность регулярных проверок разрешений, особенно при взаимодействии с агрегаторами и контрактами маршрутизации.