Кратко
- Уязвимость SwapNet привела к утечке 16,8 млн долларов после того, как пользователи отключили защиту однократных разрешений.
- Злоумышленник обменял 10,5 млн USDC на ETH на базе перед мостингом в Ethereum.
- Matcha Meta отключает пострадавшие контракты, поскольку службы безопасности отмечают более широкие риски в DeFi.
Уязвимость безопасности, связанная с SwapNet, привела к потерям около 16,8 миллиона долларов, что затронуло пользователей, взаимодействующих через Matcha Meta. Инцидент в основном коснулся пользователей, отключивших однократные разрешения, что подвергло риску постоянные разрешения токенов.
Компания по безопасности блокчейна PeckShieldAlert выявила уязвимость и проследила начальные перемещения средств. Злоумышленник нацелился на маршрутизаторы SwapNet, которые сохраняли неограниченные разрешения от кошельков пострадавших пользователей.
В сети Base злоумышленник обменял примерно 10,5 миллиона долларов USDC на около 3 655 ETH. Вскоре после этого злоумышленник начал мостить конвертированные активы в основную сеть Ethereum, чтобы усложнить отслеживание.
SwapNet функционирует как маршрутизатор ликвидности, используемый Matcha Meta для определения цен и глубокой ликвидности. Уязвимость заключалась в злоупотреблении существующими разрешениями, а не в взломе приватных ключей или основной инфраструктуры.
Matcha Meta, созданная командой 0x, подтвердила проблему и немедленно отключила пострадавшие контракты SwapNet. Платформа также убрала опцию предоставления прямых разрешений сторонним агрегаторам.
Расследование расширяется, поскольку службы безопасности отмечают более широкие риски
Дальнейший анализ показал, что уязвимость возникла из-за произвольного вызова внутри контрактов SwapNet. Этот недостаток позволял злоумышленникам переводить одобренные токены без запроса новых разрешений.
Компания по безопасности BlockSec сообщила, что несколько контрактов по цепочкам понесли убытки, превышающие 17 миллионов долларов. Пострадавшие сети включали Ethereum, Arbitrum, Base и BNB Chain, что расширяет масштаб инцидента.
Отдельно CertiK оценил, что украдено около 13,3 миллиона долларов USDC в результате связанной деятельности.
Некоторые задействованные контракты оставались закрытыми и неподтвержденными при развертывании.
Позже Matcha Meta подтвердил, что основные контракты 0x не пострадали от инцидента.
Пользователи, полагающиеся на однократные разрешения через инфраструктуру 0x, остались без ущерба.
Инцидент вновь поднял вопрос о постоянных разрешениях токенов в децентрализованных финансах.
Неограниченные разрешения обеспечивают удобство, но увеличивают риск при сбоях смарт-контрактов.
Между тем, исследователь ZachXBT раскритиковал задержку Circle в заморозке оставшихся USDC. Около 3 миллионов долларов, по сообщениям, оставались на адресах, пригодных для заморозки в течение времени реагирования.
Этот взлом добавляет к растущему списку сбоев в безопасности DeFi в начале 2026 года. Данные отрасли показывают, что украденные крипто-средства достигли рекордных уровней за последние годы, что увеличивает давление на практики безопасности протоколов.
|
| ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Информация на этом сайте предоставляется в качестве общего обзора рынка и не является инвестиционной рекомендацией. Мы рекомендуем провести собственное исследование перед инвестированием. |
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
HypurrFi раскрыла уязвимость "округлительной погрешности" в ранней версии Aave V3, приостановлены новые займы на рынках XAUT0 и UBTC
HyperEVM的HypurrFi在X平台发布消息,Aave V3 3.5前版本存在“舍入误差”漏洞,攻击者可利用该漏洞提取底层代币。受影响市场已暂停相关操作,用户资金安全无风险,团队正在协作解决问题。
GateNews3ч назад
Тайваньская мобильная платежная система «RE 红包» прекратила работу после 9 лет! Десятки тысяч пользователей остались без доступа к своим средствам, а их деньги были заморожены. Компания ищет слияние или поглощение, чтобы спасти ситуацию.
RE紅包(RE·X)在運營近9年後宣布停止營運,原因是受到地緣政治影響,募資困難,導致財務狀況惡化。數萬名用戶的帳戶餘額被凍結,並已進入解散清算程序,用戶需在2026年3月15日前申報債權。該事件突顯了台灣數位支付平台在用戶資金保障上的風險,需加強監管措施。
動區BlockTempo03-04 04:55
Kalshi «Хамини отрёкся» контракт на 50 миллионов долларов вызывает споры! Генеральный директор призывает: отвергнуть арбитраж смерти
Kalshi недавно вызвал споры из-за новости о смерти Хамини, в результате чего в связанные прогнозные контракты вложились большие суммы, что привело к хаосу при расчетах и приостановке торгов. Хотя возвраты пользователям принесли чистый убыток примерно в 2,2 миллиона долларов, деятельность платформы подверглась критике, а американские депутаты потребовали расследовать подобные контракты, связанные с убийствами. Polymarket также столкнулся с спорами: расчет по определенным контрактам вызвал недовольство пользователей, а также появились подозрения в инсайдерской торговле.
区块客03-03 12:06
Kalshi“Положение о смерти” вызывает споры: ставки на смерть Хаменея привели к крупным убыткам трейдеров
3 марта новости, предсказательный рынок Kalshi вызвал споры из-за смерти верховного лидера Ирана Хаменея, трейдеры выразили недовольство "положением о смерти", доходы минимальны. Объем торгов на рынке резко вырос, но неправомерные операции сталкиваются с рисками регулирования. Аналитики предупреждают, что предсказательные рынки должны балансировать между коммерциализацией и соблюдением правил, а торговля по чувствительным событиям требует осторожности.
GateNews03-03 08:04
ZachXBT утверждает, что сотрудник Axiom неправомерно использовал внутренние данные - Unchained
ZachXBT утверждает, что сотрудник Axiom неправомерно использовал внутренние инструменты для доступа к приватным данным кошельков пользователей с целью получения прибыли и поделился ими с избранной группой, отслеживающей трейдеров. Axiom ответила, отозвав доступ и начав расследование на фоне растущих опасений по поводу этики данных в криптоиндустрии.
UnchainedCrypto02-27 12:18
Американская OCC предложила оценивать стоимость спотовых крипто-ETP, связанных с клиринговыми участниками, как нулевую
Foresight News сообщает, что согласно сайту SEC, компания по клирингу опционов OCC предложила ввести контроль за «специфическими рисками неправильного направления» (SWWR) для позиций в спотовых криптовалютах ETP, которые находятся под опекой клиринговых участников или их связанных организаций. В таких случаях стоимость соответствующих паев фондов и опционов будет приравнена к нулю, чтобы снизить кредитный риск, связанный с хранением криптоактивов. Кроме того, OCC планирует прекратить прием аккредитивов и долговых ценных бумаг GSE в качестве допустимых залогов.
GateNews02-27 09:24
