En Resumen
- La explotación de SwapNet drena 16,8 millones de dólares después de que los usuarios desactivaran las protecciones de aprobación única.
- El atacante intercambió 10,5 millones de USDC por ETH en Base antes de transferirlos a Ethereum.
- Matcha Meta desactiva los contratos afectados mientras las firmas de seguridad alertan sobre riesgos más amplios en DeFi.
Una brecha de seguridad vinculada a SwapNet provocó pérdidas de aproximadamente 16,8 millones de dólares, afectando a los usuarios que interactuaron a través de Matcha Meta. El incidente impactó principalmente a los usuarios que desactivaron las aprobaciones únicas, exponiendo permisos persistentes en los tokens.
La firma de seguridad en blockchain PeckShieldAlert identificó la explotación y rastreó los movimientos iniciales de los fondos. El atacante dirigió su ataque a los contratos router de SwapNet que mantenían aprobaciones ilimitadas desde las wallets afectadas.
En la red Base, el atacante intercambió aproximadamente 10,5 millones de dólares en USDC por unos 3,655 ETH. Poco después, comenzó a transferir los activos convertidos a la red principal de Ethereum para dificultar el rastreo.
SwapNet funciona como un router de liquidez utilizado por Matcha Meta para obtener precios y liquidez profunda. La explotación involucró abusar de las aprobaciones existentes en lugar de vulnerar claves privadas o infraestructura central.
Matcha Meta, desarrollado por el equipo 0x, confirmó el problema y desactivó inmediatamente los contratos de SwapNet afectados. La plataforma también eliminó la opción que permitía a los usuarios otorgar aprobaciones directas a agregadores de terceros.
La investigación se amplía mientras las firmas de seguridad alertan sobre riesgos más amplios
Un análisis adicional sugirió que la explotación provino de una vulnerabilidad de llamadas arbitrarias en los contratos de SwapNet. Este fallo permitía a los atacantes transferir tokens aprobados sin solicitar nuevos permisos.
La firma de seguridad BlockSec informó que varios contratos en diferentes cadenas sufrieron pérdidas superiores a 17 millones de dólares. Las redes afectadas incluyeron Ethereum, Arbitrum, Base y BNB Chain, ampliando el alcance del incidente.
Por separado, CertiK estimó que los fondos robados alcanzaron cerca de 13,3 millones de dólares en USDC por actividades relacionadas.
Algunos contratos involucrados permanecieron en código cerrado y sin verificar en el momento del despliegue.
Matcha Meta confirmó posteriormente que los contratos principales de 0x no fueron afectados por el incidente.
Los usuarios que confiaron en aprobaciones de una sola vez a través de la infraestructura 0x permanecieron sin afectar.
El incidente renovó el escrutinio sobre las aprobaciones persistentes de tokens en las finanzas descentralizadas.
Los permisos ilimitados ofrecen conveniencia, pero aumentan la exposición ante fallos en contratos inteligentes.
Mientras tanto, el investigador en cadena ZachXBT criticó la respuesta tardía de Circle para congelar los USDC restantes. Aproximadamente 3 millones de dólares permanecían en direcciones elegibles para ser congeladas durante la ventana de respuesta.
La brecha se suma a una lista creciente de fallos de seguridad en DeFi a principios de 2026. Datos de la industria muestran que los fondos de criptomonedas robados alcanzaron niveles récord en los últimos años, aumentando la presión sobre las prácticas de seguridad de los protocolos.
|
| AVISO: La información en este sitio web se proporciona como comentario general del mercado y no constituye asesoramiento de inversión. Te animamos a realizar tu propia investigación antes de invertir. |
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
Denaria sufre un ataque de un contrato inteligente y pierde aproximadamente 165k de dólares
La plataforma de contratos perpetuos descentralizados Denaria anunció que sus contratos inteligentes fueron atacados, con una pérdida de aproximadamente 165k dólares. El equipo está llevando a cabo una investigación junto con la firma de auditoría, y ha suspendido la interfaz de usuario, mientras prepara el proceso de reembolso. Denaria espera, mediante una invitación con recompensa, que el atacante se ponga en contacto para evitar acciones legales.
GateNewshace4h
La FSC de Corea exige que los exchanges establezcan un sistema de conciliación de activos cada 5 minutos, y que la implementación esté completada antes de finales de mayo.
La Comisión de Servicios Financieros de Corea exige que todas las bolsas de criptomonedas establezcan un sistema para verificar los activos cada 5 minutos y que lo completen antes de finales de mayo. Se descubrió que algunas bolsas no verifican con la frecuencia requerida y que existen deficiencias en los mecanismos de circuit breaker de trading; todas las bolsas deben publicar los saldos de activos y someterse a auditorías. Las medidas regulatorias se originan en un error operativo de una bolsa en particular en febrero.
GateNewshace7h
Figura Lianchuang: Un CEX envía una factura fiscal incorrecta y obstaculiza la aprobación de la Ley de CLARITY
Figura cofundador Mike Cagney recibió recientemente un formulario de impuestos 1099-MISC de algún CEX Custody, que muestra un ingreso el año pasado de 1600 dólares, pero los activos de la cuenta solo eran 10 dólares. Mostró su descontento con la evasión del servicio de atención al cliente y criticó que la bolsa obstaculizara la aprobación de la “LEY CLARITY”, y consideró que la industria ya no necesita preocuparse por su opinión.
GateNewshace11h
Un sitio de mercado de predicciones retiró el mercado de predicciones “piloto militar estadounidense desaparecido”, alegando que incumplía los estándares de integridad.
Una plataforma de mercado de predicciones retiró de la lista, debido a una supuesta violación de los “estándares de integridad”, los mercados sobre el destino de un piloto estadounidense desaparecido, lo que generó controversia. Los congresistas estadounidenses criticaron que este tipo de apuestas es “repulsivo” y cuestionaron la transparencia de las reglas. Al mismo tiempo, las preocupaciones por el uso de información privilegiada se intensificaron y el regulador pidió reforzar las medidas de restricción.
GateNews04-04 09:55
Elon Musk's X va a desplegar un interruptor de apagado antiescamas mediante el bloqueo automático de quienes mencionen criptomonedas por primera vez
La plataforma de redes sociales X bloqueará automáticamente las cuentas que mencionen criptomonedas por primera vez, exigiendo una verificación adicional para disuadir las estafas de phishing cripto. Esta nueva medida tiene como objetivo eliminar los incentivos para ataques que secuestran cuentas para promocionar tokens fraudulentos.
CoinDesk04-03 15:48
four.meme Debido a una interrupción del modo de creación de tokens de tarifas por un defecto técnico, se realizará un reembolso completo a los usuarios afectados
El anuncio de four.meme: debido a un defecto en la dirección de cobro de tasas del proyecto que comienza con 0x9f4, las operaciones de venta fallaron; se ha pausado la funcionalidad de creación de tokens relacionados y se recomienda a los usuarios que detengan las operaciones. Además, se proporcionará un reembolso total a los usuarios afectados que hayan comprado antes de las 22:50 del 3 de abril.
GateNews04-03 15:04
