DEX-агрегатор подвергся атаке на сумму $16,8 млн из-за обхода процесса одобрения SwapNet

• Объявление -

Агрегатор децентрализованных бирж Matcha Meta подтвердил инцидент безопасности, связанный с его интеграцией SwapNet, в результате чего, по оценкам, было понесено убыток в размере $16.8 млн.

Нарушение было впервые выявлено компанией по кибербезопасности в блокчейне PeckShield, а дальнейший технический анализ позже предоставила CertiK.

Что пошло не так

Согласно выводам, которыми поделились исследователи безопасности, эксплойт конкретно затронул пользователей, которые отключили функцию Matcha Meta «Одноразовое одобрение». Отключив эту опцию, такие пользователи предоставили постоянные разрешения напрямую контракту маршрутизатора SwapNet, создав поверхность атаки, которая позже была использована.

#PeckShieldAlert Matcha Meta сообщила о нарушении безопасности, связанном со SwapNet. Пользователи, отключившие «One-Time Approvals», находятся под риском.

Пока что изъято крипто на сумму ~$16.8M.

На #Base злоумышленник обменял ~10.5M $USDC на ~3,655 $ETH и начал мостить средства на… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) January 26, 2026

CertiK определила корневую причину как уязвимость «произвольного вызова» в контракте SwapNet. Этот недостаток позволил атакующему инициировать несанкционированные переводы из кошельков, которые ранее одобрили маршрутизатор, фактически обходя обычные меры защиты.

Движение средств и масштабы

Данные on-chain показывают, что атакующий обменял в сети Base примерно $10.5 млн USDC на около 3,655 ETH, после чего перебросил активы в Ethereum. Движение через сети, судя по всему, было задумано для усложнения отслеживания и усилий по восстановлению.

Важно, что инцидент не затронул всех пользователей Matcha. Воздействие было ограничено кошельками, которые вручную отключили одноразовые одобрения и предоставили прямые разрешения контрактам SwapNet.

                Bitcoin обходит золото и серебро в опросе об инвестициях на $100,000

Меры экстренного реагирования

В ответ на эксплойт Matcha Meta предприняла несколько немедленных шагов:

• Контракты SwapNet были приостановлены, чтобы предотвратить дальнейшие потери.
• Пользователям настоятельно рекомендовали отозвать существующие одобрения, особенно для контракта маршрутизатора SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• Платформа удалила возможность отключать одноразовые одобрения, стремясь снизить подобные риски в будущем.

Инцидент подчеркивает компромиссы безопасности, связанные с постоянными одобрениями контрактов, и подтверждает важность регулярных проверок разрешений, особенно при взаимодействии с агрегаторами и контрактами маршрутизации.