Кратко
- Уязвимость SwapNet привела к утечке 16,8 млн долларов после того, как пользователи отключили защиту однократных разрешений.
- Злоумышленник обменял 10,5 млн USDC на ETH на базе перед мостингом в Ethereum.
- Matcha Meta отключает пострадавшие контракты, поскольку службы безопасности отмечают более широкие риски в DeFi.
Уязвимость безопасности, связанная с SwapNet, привела к потерям около 16,8 миллиона долларов, что затронуло пользователей, взаимодействующих через Matcha Meta. Инцидент в основном коснулся пользователей, отключивших однократные разрешения, что подвергло риску постоянные разрешения токенов.
Компания по безопасности блокчейна PeckShieldAlert выявила уязвимость и проследила начальные перемещения средств. Злоумышленник нацелился на маршрутизаторы SwapNet, которые сохраняли неограниченные разрешения от кошельков пострадавших пользователей.
В сети Base злоумышленник обменял примерно 10,5 миллиона долларов USDC на около 3 655 ETH. Вскоре после этого злоумышленник начал мостить конвертированные активы в основную сеть Ethereum, чтобы усложнить отслеживание.
SwapNet функционирует как маршрутизатор ликвидности, используемый Matcha Meta для определения цен и глубокой ликвидности. Уязвимость заключалась в злоупотреблении существующими разрешениями, а не в взломе приватных ключей или основной инфраструктуры.
Matcha Meta, созданная командой 0x, подтвердила проблему и немедленно отключила пострадавшие контракты SwapNet. Платформа также убрала опцию предоставления прямых разрешений сторонним агрегаторам.
Расследование расширяется, поскольку службы безопасности отмечают более широкие риски
Дальнейший анализ показал, что уязвимость возникла из-за произвольного вызова внутри контрактов SwapNet. Этот недостаток позволял злоумышленникам переводить одобренные токены без запроса новых разрешений.
Компания по безопасности BlockSec сообщила, что несколько контрактов по цепочкам понесли убытки, превышающие 17 миллионов долларов. Пострадавшие сети включали Ethereum, Arbitrum, Base и BNB Chain, что расширяет масштаб инцидента.
Отдельно CertiK оценил, что украдено около 13,3 миллиона долларов USDC в результате связанной деятельности.
Некоторые задействованные контракты оставались закрытыми и неподтвержденными при развертывании.
Позже Matcha Meta подтвердил, что основные контракты 0x не пострадали от инцидента.
Пользователи, полагающиеся на однократные разрешения через инфраструктуру 0x, остались без ущерба.
Инцидент вновь поднял вопрос о постоянных разрешениях токенов в децентрализованных финансах.
Неограниченные разрешения обеспечивают удобство, но увеличивают риск при сбоях смарт-контрактов.
Между тем, исследователь ZachXBT раскритиковал задержку Circle в заморозке оставшихся USDC. Около 3 миллионов долларов, по сообщениям, оставались на адресах, пригодных для заморозки в течение времени реагирования.
Этот взлом добавляет к растущему списку сбоев в безопасности DeFi в начале 2026 года. Данные отрасли показывают, что украденные крипто-средства достигли рекордных уровней за последние годы, что увеличивает давление на практики безопасности протоколов.
|
| ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Информация на этом сайте предоставляется в качестве общего обзора рынка и не является инвестиционной рекомендацией. Мы рекомендуем провести собственное исследование перед инвестированием. |
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Китайские пользователи протестуют против заморозки счетов платежного провайдера EmpowPay в Камбодже, что приводит к кровавым столкновениям
Десятки граждан Китая протестовали у Национального банка Камбоджи в Пномпене, требуя разморозить средства на счетах платежной платформы Huixin Payment. Протест перерос в столкновения с рукоприкладством, в результате которых пострадали люди. Huixin Payment, как связанный с транснациональными мошенническими и отмывочными преступлениями, был лишен лицензии Банком Камбоджи и в значительной степени заморожены счета. Китай обвиняет бывшего председателя Ли Сюна в том, что он является ядром преступной группы, связанной с холдингом «Принцесса» (Taizi Group), при этом соответствующие меры по пресечению одновременно выявили, что легальные пользователи сталкиваются с риском своих средств и длительными процедурами по судебным предписаниям.
ChainNewsAbmedia9ч назад
FTC налагает на основателя Celsius Алекса Машински мировое соглашение на $10 миллион с пожизненным запретом на криптовалюты
Согласно документу FTC, поданному во вторник (28 апреля), Федеральная торговая комиссия вынесла решение о взыскании $4,7 млрд в отношении бывшего генерального директора Celsius Алекса Машински, при этом большая часть суммы была приостановлена. Машински обязан выплатить $10 миллион, если только он не не раскрыл существенные активы или не сделал искажающих заявлений
GateNews13ч назад
Данные клиентов Zondacrypto выставлены на продажу в даркнете за 550 евро и 0,6 BTC
Согласно Bitcoin.pl, данные клиентов обанкротившейся польской биржи Zondacrypto были выставлены на продажу в даркнете: доступно два пакета. Меньший пакет, содержащий адреса электронной почты и базовые данные идентификации, стоит примерно 550 евро, тогда как более крупный набор, включая
GateNews19ч назад
Основатель Celsius Машинский урегулировал спор с FTC, выплатил $10M и столкнулся с постоянным запретом на продукты по активам
Согласно ChainCatcher, основатель Celsius Алекс Машинский согласился урегулировать дело с (Федеральной торговой комиссией США) 29 апреля, выплатив $10 млн и столкнувшись с постоянным запретом на продвижение, маркетинг или распространение любых продуктов или услуг, связанных с внесением активов, обменами, инвестициями или выводом средств, или w
GateNews21ч назад
Мост Commons компании Syndicate взломан на $330K; SYND падает на 36% в среду
Согласно CertiK, межсетевой мост Commons компании Syndicate — официального кроссчейн-моста платформы инфраструктуры Ethereum — в среду подвергся эксплойту (29 апреля), что привело как минимум к $330k убытков. Злоумышленник получил примерно 18,5 млн токенов SYND и продал их примерно за $330,000, whi
GateNews23ч назад
Forbes обвиняет American Bitcoin Эрика Трампа в том, что это арбитражный инструмент, эксплуатирующий настроения инвесторов MAGA
Сообщение Gate News, 29 апреля — Forbes опубликовал критический материал об American Bitcoin, компании, которой руководит Эрик Трамп, обвинив ее в том, что она работает как инструмент арбитража, используя настроения инвесторов MAGA, а не является законной «машиной по печатанию денег», как это рекламируется. По данным Forbes, компания использует
GateNews04-29 01:46
