Los usuarios de Matcha Meta afectados por el hackeo de swapnet explota aprobaciones permanentes de tokens para robar 16,8 millones de dólares

Los usuarios que interactúan a través de Matcha Meta han sido afectados por el hack de SwapNet, que abusó de permisos riesgosos de tokens para robar fondos de billeteras expuestas.

Ataque drena 16,8 millones de dólares a través de permisos expuestos

La firma de seguridad blockchain PeckShieldAlert alertó por primera vez sobre un incidente de seguridad importante que involucraba a SwapNet y que afectó a los usuarios de Matcha Meta. Los atacantes abusaron de permisos existentes de tokens y, en última instancia, drenaron 16,8 millones de dólares en criptomonedas de las billeteras afectadas. Sin embargo, el problema principal se originó en cómo estaban configurados los permisos, no en un exploit directo en el código de Matcha Meta.

Según PeckShieldAlert, la brecha afectó a usuarios que habían modificado la configuración de seguridad predeterminada de Matcha Meta. En lugar de confiar en permisos más seguros y temporales, estos usuarios habían otorgado permisos más amplios y persistentes a los contratos del protocolo, dejando los activos vulnerables una vez que un atacante descubrió la exposición.

Cómo se ejecutó el exploit de SwapNet

Matcha Meta ofrece un sistema de Permiso Único que limita el acceso a tokens a una sola transacción. Este diseño ayuda a contener el riesgo asegurando que, tras la ejecución, los contratos inteligentes ya no tengan autoridad continua sobre los tokens del usuario. Además, obliga a una nueva aprobación antes de que pueda ocurrir cualquier nuevo gasto.

Sin embargo, algunos usuarios desactivaron la protección de permiso único y, en su lugar, otorgaron autorizaciones directas y a largo plazo a contratos agregadores individuales. Estos permisos persistentes estaban vinculados a SwapNet, lo que otorgaba a sus contratos acceso continuo a los fondos de los usuarios en múltiples transacciones sin confirmaciones adicionales.

Luego, los atacantes dirigieron esos permisos permanentes de tokens. Una vez que una billetera había aprobado los contratos relacionados con SwapNet, el hacker podía mover tokens a su antojo, sin necesidad de nuevas firmas de la víctima. Esto permitió que los saldos completos se drenaran silenciosamente, ya que no se requerían nuevas solicitudes de aprobación en la cadena.

En términos prácticos, el hack de SwapNet convirtió estos permisos amplios en un vector de ataque directo. Las aprobaciones destinadas a facilitar el comercio se convirtieron en una herramienta para transferencias no autorizadas de fondos tras la compromisión o mal uso de los contratos.

Rastros en la cadena en Base y Ethereum

Los datos en la cadena revelan que el atacante se centró principalmente en la red Base. Aproximadamente 10,5 millones de dólares en USDC fueron intercambiados por unos 3,655 ETH, según análisis preliminares. Además, el momento y el patrón de los intercambios sugieren un intento coordinado de convertir rápidamente y redistribuir los stablecoins robados.

Poco después de los intercambios iniciales, el atacante comenzó a hacer puentes en la red Base, moviendo fondos de Base a Ethereum. El puenteo es una técnica común utilizada por ladrones en la cadena para complicar el rastreo y mezclar los historiales de transacción en varias cadenas, dificultando los esfuerzos de las fuerzas del orden y análisis.

Registros adicionales de transacciones muestran transferencias grandes de USDC que superan los 13 millones de dólares y interacciones directas con pools de liquidez de Uniswap V3. Además, el informe de brecha de PeckShieldAlert estima que el impacto total alcanzó aproximadamente 16,8 millones de dólares en activos robados tras agregar la actividad en las direcciones involucradas.

Reacción de Matcha Meta y SwapNet

Matcha Meta reconoció públicamente el incidente y afirmó que está colaborando estrechamente con el equipo de SwapNet. Como medida inmediata de contención, SwapNet desactivó temporalmente sus contratos para detener una mayor explotación y reducir el riesgo de que se drenaran más billeteras.

Además, Matcha Meta eliminó la opción para que los usuarios establecieran permisos directos a los agregadores, lo que había abierto la puerta al ataque. El cambio busca garantizar que la actividad de comercio futura dependa de patrones de aprobación más restrictivos, reduciendo el radio de impacto si ocurre un incidente similar nuevamente.

La plataforma también instó a los usuarios a revocar los permisos de tokens que estén fuera de los propios contratos de Permiso Único de 0x. En particular, Matcha Meta destacó los permisos vinculados al contrato de enrutador de SwapNet, que ahora se han identificado como un factor de riesgo clave en la brecha.

Investigación en curso y protección a usuarios

Las investigaciones sobre las billeteras comprometidas y los contratos asociados siguen en curso. Tanto Matcha Meta como SwapNet han prometido proporcionar actualizaciones continuas mientras rastrean el movimiento de los fondos robados y colaboran con investigadores de seguridad. Sin embargo, recuperar activos en incidentes en cadena de este tipo suele ser difícil una vez que los fondos son lavados a través de múltiples protocolos.

Por ahora, los equipos se concentran en limitar una mayor exposición y en guiar a los usuarios sobre prácticas seguras. Dicho esto, el episodio subraya lo poderosa que puede ser una aprobación de tokens cuando se malutiliza o se deja sin control, especialmente cuando surge un escenario de router de swapnet comprometido.

En resumen, la brecha demuestra que las decisiones de configuración en torno a los permisos son tan críticas como el código del contrato inteligente. Los usuarios que confían en permisos restrictivos de una sola vez y auditan rutinariamente sus autorizaciones están mejor posicionados para resistir exploits similares dirigidos a agregadores DeFi.