紹介 日曜日、Matcha Metaは主要な流動性プロバイダーの一つであるSwapNetに関連するセキュリティ侵害が発生し、SwapNetのルーター契約の承認を付与していたユーザーを侵害したことを明らかにしました。このインシデントは、分散型取引所エコシステム内の許可されたコンポーネントが、コアインフラが無傷であっても攻撃ベクトルになり得ることを浮き彫りにしています。初期の公的評価では、損失はおよそ1300万ドルから1700万ドルの範囲とされており、オンチェーン活動はBaseネットワークとイーサリアムへのクロスチェーン移動に集中しています。この開示は、承認を取り消すためのユーザーへの促しや、外部ルーターに曝露されたスマートコントラクトがどのように保護されているかに対する厳しい監視を促しました。
主なポイント
この侵害はSwapNetのルーター契約を経由しており、さらなる損失を防ぐために承認を取り消すよう緊急に呼びかけられました。
盗まれた資金の推定は様々で、CertiKは約1,330万ドル、PeckShieldはBaseネットワークで少なくとも1,680万ドルと報告しています。
Baseでは、攻撃者は約1,050万USDCを約3,655 ETHと交換し、資金をイーサリアムにブリッジし始めました。
CertiKはこの脆弱性を、0xswapnet契約内の任意のコールに起因するとし、攻撃者がすでに承認された資金を移動させたものだとしました。
抹茶Metaは、この曝露は自社のインフラではなくSwapNetに結びついていると示唆しており、関係者は補償や安全策の詳細をまだ明らかにしていません。
スマートコントラクトの脆弱性は依然として暗号攻撃の主要な要因であり、2025年のインシデントの30.5%を占めているとSlowMistの年次セキュリティレポートが発表しています。
言及されたティッカー
言及されたティッカー:暗号通貨→USDC、ETH、TRU
感情
感情:中立
価格への影響
価格影響:マイナス。この漏洩はDeFiにおける継続的なセキュリティリスクを浮き彫りにし、責任ある流動性供給や承認管理に関するリスクセンチメントに影響を与える可能性があります。
トレーディングアイデア(金融アドバイスではありません)
トレーディングのアイデア(金融アドバイスではありません):保有すること。このインシデントはルーター承認経路に特有であり、すべてのDeFiプロトコルに対する広範なシステムリスクを直接示唆するわけではありませんが、承認管理やクロスチェーン流動性に関しては注意が必要です。
市場の文脈
市場の背景:このイベントは、流動性提供者やアグリゲーターがますますモジュール型コンポーネントに依存する中、DeFiのセキュリティとクロスチェーン活動への注目が高まる中で開催されました。また、オンチェーンガバナンス、監査、そして強力なセーフガードの必要性についての議論が進化する背景の中でも、ブルーチッププロトコルと新規参入者がユーザーの信頼を巡って競い合っています。
なぜ重要なのか
なぜ重要なのか
DeFiアグリゲーターでのセキュリティインシデントは、複数のプロトコル層が相互作用する際に存在する持続的なリスク表面を示しています。今回の侵害はMatcha Metaのコアアーキテクチャではなく、SwapNetのルーター契約の脆弱性に起因するとされており、信頼がコンポーザブルなエコシステムにおけるパートナーコンポーネント間でどのように分散されているかを浮き彫りにしています。ユーザーにとっては、特に異常なオンチェーン活動の疑いがある場合に、トークン承認を定期的に確認・取り消すよう促すためのリマインダーとなります。
財務的影響は依然として進化しつつありますが、外部流動性提供者の厳格な審査と承認フローのリアルタイム監視の重要性を強調しています。攻撃者が盗まれた資金の大部分をステーブルコインに変換し、資産をイーサリアムにブリッジできたことは、事件後の追跡可能性や返還作業を複雑にするクロスチェーンの動態を浮き彫りにしています。取引所やセキュリティ研究者は、こうした脆弱性の半径を制限するための細かく期限付きの権限範囲や早期取り消し機能の価値を強調しています。
市場の観点から見ると、このエピソードは許可なしファイナンスの脆弱性と、DeFiエコシステムの層にわたる強固で監査可能なセーフガードの実装競争に関するより広範な物語に加わります。抹茶メタに対する体系的な非難ではありませんが、この事件はルーター契約の標準化されたセキュリティ監査や、ユーザー資金に関わるサードパーティモジュールの明確な説明責任を求める声を強めています。
次に見るもの
次に見るもの
抹茶Metaの公式な原因情報と、影響を受けたユーザーへの対応や補償計画について。
SwapNetのルーター契約およびガバナンス変更に関する外部監査や第三者のレビュー、再発防止のためのもの。
この事件およびその後の資金移動に関連するベースからイーサリアムへのブリッジ活動のオンチェーン監視。
DeFiセキュリティに関する規制および業界標準の発展、特にスマートコントラクト監査フレームワークやユーザー承認管理。
出典と検証
Xでの抹茶Metaの投稿は、侵害後にSwapNetの承認を取り消すようユーザーに警告しています。
CertiKのアドバイザリーは、承認された資金の移転を許可した0xswapnet契約の任意のコールに由来するものであると指摘しました。
PeckShieldの更新によると、Baseに約1,680万ドルが流出され、USDCとETHの交換やEthereumへのブリッジが含まれていました。
SlowMistの2025年ブロックチェーンセキュリティおよびAML年次報告書では、インシデントの割合をカテゴリ別に詳細に示しており、スマートコントラクトの脆弱性に起因する30.5%、アカウント侵害に24%が関与しています。
CointelegraphによるTruebit事件の報道、2,600万ドルの損失やTRUトークンの下落など、スマートコントラクトのリスクリスクリスクに関するより広い文脈を紹介します。
記事本文を書き直した
Matcha Metaでのセキュリティ侵害はDEXエコシステムにおけるスマートコントラクトリスクを浮き彫りにしています
DeFiが内部から侵害される可能性の最新の例として、Matcha Metaは主要な流動性供給経路の一つであるSwapNetのルーター契約を通じてセキュリティ侵害が発生したことを明らかにしました。ユーザー側に向けられた結果として、トークン承認の取り消しが行われ、プロトコルは公開投稿でこれを明確に促しました。同社は、この侵害はMatcha Metaのコアインフラから発生したものではなく、パートナーのルーター層におけるユーザーの資金移動権限を与える脆弱性に起因していると示唆しました。
セキュリティ研究者の初期推定では、経済的影響は狭い範囲に収まっているとされています。CertiKは損失を約1,330万ドルと算出し、PeckShieldはBaseネットワークで1,680万ドルと報告しました。この不一致は、異なるオンチェーン会計手法やインシデント後のレビューのタイミングを反映していますが、両分析ともSwapNetのルーター機能に関連する意味のある損失を確認しています。PeckShieldがXに投稿した情報によると、攻撃者は約1,050万USDC(CRYPTO: USDC)を約3,655 ETH(CRYPTO: ETH)と交換し、その収益をイーサリアムへのブリッジで移動させ始めたと報告されています。
これまでに約1,680万ドル相当の暗号資産が消費されています。Baseでは、攻撃者は~1,050万USDCを~3,655 ETHと交換し、資金をイーサリアムにブリッジし始めました。
CertiKの評価はこの脆弱性の技術的説明を提供しています。0xswapnet契約の任意の呼び出しにより、攻撃者はユーザーがすでに承認した資金を引き出すことになり、SwapNetの流動性プールからの直接的な盗難を回避し、代わりにルーターに付与された権限を活用したのです。この区別は、Matcha Meta自身の管理やセキュリティ管理の侵害ではなく、統合層におけるガバナンスや設計上の欠陥を示しているため重要です。
Matcha Metaは、このリスクがSwapNetに関連していることを認め、自社のインフラによる脆弱性の原因とはしませんでした。補償メカニズムや安全策に関するコメント獲得の試みはすぐには返答されず、影響を受けたユーザーは近い将来の明確な是正手段を失いました。このインシデントはDEXアグリゲーターにとってより広範なリスクプロファイルを示しています。パートナーシップが新しい契約インターフェースを導入すると、攻撃者はユーザー承認と自動資金移動の交差点にある許可付きフローを標的にする可能性があります。
暗号資産の広範なセキュリティ環境は依然として不安定です。2025年には、スマートコントラクトの脆弱性が暗号攻撃の主な原因であり、SlowMistの年次報告によると、30.5%のインシデントと56件のイベントを占めています。この共有は、高度なプロジェクトであっても、自動的な価値転送を制御するエッジケースのバグやコードの誤設定によってつまずくことがあることを浮き彫りにしています。アカウントの侵害や被害者のXハンドルなどのソーシャルアカウントの侵害もかなりの割合を占めており、攻撃者のツールキットが多方向性であることを浮き彫りにしています。
純粋に技術的な側面を超えて、このインシデントはスマート契約セキュリティにおける人工知能の活用に関する議論の拡大に繋がっています。DECEMBERの報告によると、市販のAIエージェントはClaude Opus 4.5、Claude Sonnet 4.5、OpenAIのGPT-5などのツールを活用し、約460万ドル相当のオンチェーン脆弱性をリアルタイムで発見しました。AIを活用したプロービングや悪用技術の登場は、監査人やオペレーターの双方にとってリスク評価に複雑さを加えています。この進化する脅威の状況は、DeFiエコシステムにおける継続的な監視、迅速な権限取り消し、柔軟な防御措置の必要性を強調しています。
SwapNet事件の2週間前、別の注目度の高いスマートコントラクト脆弱性によりTruebitプロトコルは2,600万ドルの損失を被り、その後TRUトークン(CRYPTO: TRU)の価格が急騰しました。こうした出来事は、スマートコントラクト層がハッカーにとって依然として主要な攻撃対象であり、暗号圏内の他のドメイン――カストディ、中央集権型インフラ、オフチェーンコンポーネント――も持続的な脅威にさらされている一方で、依然として重要であることを強調しています。繰り返し見られるテーマは、リスク管理が監査やバグバウンティを超えて、ライブガバナンス、リアルタイムモニタリング、承認やクロスチェーンの動きに関する慎重なユーザー実践を含むべきだということです。
市場がその影響を消化する中で、観察者はDeFiのレジリエンスへの道筋が多層的なセーフガードと透明性のあるインシデント対応に依存していることを強調しています。SwapNetの脆弱性は特定の統合に限られているように見えますが、このインシデントは重要な教訓を強調しています。信頼されたパートナーであっても、契約が標準的な安全策を回避する形でユーザー資金とやり取りすると、システミックリスクをもたらす可能性があるということです。オンチェーン記録は引き続き展開し、調査官、Matcha Metaおよびその流動性パートナーが法医学的審査を行い、被害者に補償やリスク管理の強化が可能で、将来同様の事案を防ぐための措置が行われるかどうかを判断します。
この記事は元々、Shadow Breaking Newsで$16.8MのSwapNet Smart Contract HackによるMatcha Meta Hitとして公開されました。これは暗号ニュース、ビットコインニュース、ブロックチェーンの最新情報の信頼できる情報源です。
