En Bref
- L’exploitation de SwapNet entraîne un drain de 16,8 millions de dollars après que les utilisateurs ont désactivé les protections d’autorisation unique.
- L’attaquant a échangé 10,5 millions de USDC contre de l’ETH sur Base avant de le transférer vers Ethereum.
- Matcha Meta désactive les contrats affectés alors que des cabinets de sécurité signalent des risques plus larges dans la DeFi.
Une faille de sécurité liée à SwapNet a entraîné une perte d’environ 16,8 millions de dollars, affectant les utilisateurs interagissant via Matcha Meta. L’incident a principalement concerné les utilisateurs ayant désactivé les autorisations uniques, exposant ainsi des permissions de jetons persistantes.
La société de sécurité blockchain PeckShieldAlert a identifié l’exploitation et tracé les mouvements initiaux des fonds. L’attaquant a ciblé les contrats de routeur SwapNet qui conservaient des autorisations illimitées provenant des portefeuilles des utilisateurs affectés.
Sur le réseau Base, l’attaquant a échangé environ 10,5 millions de dollars en USDC contre environ 3 655 ETH. Peu de temps après, l’attaquant a commencé à transférer les actifs convertis vers le réseau principal Ethereum pour compliquer le suivi.
SwapNet fonctionne comme un routeur de liquidité utilisé par Matcha Meta pour obtenir des prix et une liquidité profonde. L’exploitation a impliqué l’abus des autorisations existantes plutôt que la violation des clés privées ou de l’infrastructure principale.
Matcha Meta, développé par l’équipe 0x, a confirmé le problème et a immédiatement désactivé les contrats SwapNet affectés. La plateforme a également supprimé l’option permettant aux utilisateurs d’accorder des autorisations directes à des agrégateurs tiers.
L’enquête s’élargit alors que des cabinets de sécurité signalent des risques plus importants
Une analyse plus approfondie a suggéré que l’exploitation provenait d’une vulnérabilité d’appel arbitraire dans les contrats SwapNet. Ce défaut permettait aux attaquants de transférer des jetons approuvés sans demander de nouvelles permissions.
La société de sécurité BlockSec a rapporté que plusieurs contrats sur différentes chaînes ont subi des pertes dépassant 17 millions de dollars. Les réseaux affectés comprenaient Ethereum, Arbitrum, Base et BNB Chain, ce qui augmente la portée de l’incident.
Par ailleurs, CertiK a estimé que près de 13,3 millions de dollars en USDC avaient été volés dans le cadre d’activités connexes.
Certains contrats impliqués restaient en source fermée et non vérifiés lors du déploiement.
Matcha Meta a ensuite confirmé que les contrats principaux 0x n’étaient pas affectés par l’incident.
Les utilisateurs s’appuyant sur des autorisations d’un seul coup via l’infrastructure 0x sont restés indemnes.
L’incident a relancé la vigilance concernant les autorisations persistantes de jetons dans la finance décentralisée.
Les permissions illimitées offrent de la commodité mais augmentent l’exposition en cas de défaillance des contrats intelligents.
Par ailleurs, l’enquêteur on-chain ZachXBT a critiqué la réponse tardive de Circle pour geler le reste des USDC. Environ 3 millions de dollars seraient restés à des adresses éligibles au gel pendant la période de réponse.
La faille s’ajoute à une liste croissante de défaillances de sécurité dans la DeFi au début de 2026. Les données du secteur montrent que les fonds cryptographiques volés ont atteint des niveaux record ces dernières années, augmentant la pression sur les pratiques de sécurité des protocoles.
|
| AVERTISSEMENT : Les informations présentes sur ce site sont fournies à titre de commentaire général sur le marché et ne constituent pas un conseil en investissement. Nous vous encourageons à faire vos propres recherches avant d’investir. |
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Le portefeuille crypto Phantom plante à grande échelle ! Pendant la période d’airdrop, les prix sont déréglés, déclenchant une vague de réclamations des utilisateurs
Le portefeuille Phantom a connu une panne pendant la période d’airdrop, entraînant une anomalie de l’affichage du prix des jetons et des soldes des comptes. Bien que la sécurité des actifs n’ait pas été compromise, les utilisateurs ont subi des pertes lors des transactions, ce qui a déclenché des demandes d’indemnisation et une crise de confiance. L’incident a également accru les inquiétudes liées à la sécurité de la blockchain ; certains malfaiteurs pourraient profiter de la situation de confusion pour lancer des attaques de phishing. Bien que le problème technique ait été corrigé, il reste nécessaire d’améliorer l’expérience utilisateur et la stabilité du système.
CryptoCityIl y a 2h
PeckShield : Attaque de liquidation par suicide visant Hyperliquid HLP, pertes de 1,5 million
Le coffre de liquidité HLP de la plateforme de dérivés décentralisée Hyperliquid a subi une perte d’environ 1,5 million de dollars. L’attaquant a utilisé le jeton à faible liquidité FARTCOIN pour mener une attaque de « liquidation suicidaire », déclenchant systématiquement le mécanisme ADL, afin de forcer HLP à absorber les pertes. En surface, la perte comptable atteint 3 millions de dollars. Cet incident met en évidence une faille du mécanisme ADL sur les marchés à faible liquidité ; l’attaquant pourrait réaliser des profits en même temps via une opération de couverture, ce qui suggère que la manœuvre ressemble davantage à de l’arbitrage qu’à de la destruction.
MarketWhisperIl y a 4h
Le portefeuille crypto Phantom plante en grand ! Pendant la période d’airdrop, le prix est erroné, ce qui déclenche une vague de demandes d’indemnisation de la part des utilisateurs
Le portefeuille Phantom a rencontré un dysfonctionnement pendant la période d'airdrops, entraînant une anomalie d'affichage du prix des jetons et des soldes de compte. Bien que la sécurité des actifs ne soit pas compromise, les utilisateurs ont subi des pertes sur les transactions, ce qui a déclenché des demandes d'indemnisation et une crise de confiance. Cet incident a également renforcé les préoccupations liées à la sécurité de la blockchain : certains malfaiteurs pourraient profiter de la situation de confusion pour lancer des attaques de phishing. Même si les problèmes techniques ont été corrigés, il reste encore des améliorations à apporter à l'expérience utilisateur et à la stabilité du système.
CryptoCityIl y a 5h
La Corée du Sud prévoit une loi-cadre sur les actifs numériques : l’émission de stablecoins devra obtenir une autorisation de niveau bancaire
Le Parti démocrate commun de Corée du Sud a présenté la « Loi fondamentale sur les actifs numériques » afin d’établir un cadre de régulation des actifs numériques, y compris des exigences d’émission pour les stablecoins et des règles de conduite du marché. Par ailleurs, la Commission des services financiers exige que les bourses mettent en place un délai de retrait standardisé afin de lutter contre l’escroquerie par usurpation vocale. Le cœur du projet de loi réside dans la controverse entourant les conditions d’émission des stablecoins ; la Banque centrale et la commission financière n’ont pas la même position.
MarketWhisperIl y a 8h
Le portefeuille cryptographique Phantom a gravement planté ! Pendant la période d’airdrop, les prix ont été faussés, déclenchant une vague de demandes d’indemnisation de la part des utilisateurs
Le portefeuille Phantom a connu une panne pendant la période d’airdrop, entraînant des anomalies dans l’affichage du prix des jetons et du solde du compte. Bien que les actifs soient en sécurité, les utilisateurs ont subi des pertes lors des transactions, ce qui a déclenché des demandes de compensation et une crise de confiance. L’événement a également accru les inquiétudes concernant la sécurité de la blockchain : certains fraudeurs pourraient profiter de la situation chaotique pour lancer des attaques de phishing. Bien que les problèmes techniques aient été corrigés, il reste encore nécessaire d’améliorer l’expérience utilisateur et la stabilité du système.
CryptoCityIl y a 8h
