Agregador DEX atingido por exploração de $16,8 milhões do SwapNet após bypass de aprovação

• Anúncio -

O agregador de exchanges descentralizados Matcha Meta confirmou um incidente de segurança relacionado à sua integração SwapNet, resultando em uma perda estimada de 16,8 milhões de dólares.

A violação foi inicialmente sinalizada pela empresa de segurança blockchain PeckShield, com análise técnica adicional posteriormente fornecida pela CertiK.

O que deu errado

De acordo com as descobertas compartilhadas por pesquisadores de segurança, a exploração impactou especificamente usuários que haviam desativado o recurso de “Aprovação Única” do Matcha Meta. Ao optar por não usar, esses usuários concederam permissões persistentes diretamente ao contrato do roteador SwapNet, criando uma superfície de ataque que foi posteriormente explorada.

#AlertaPeckShield Matcha Meta relatou uma violação de segurança envolvendo o SwapNet. Usuários que optaram por não usar “Aprovações Únicas” estão em risco.

Até agora, cerca de 16,8 milhões de dólares em criptomoedas foram drenados.

No #Base, o atacante trocou cerca de 10,5 milhões de $USDC por cerca de 3.655 $ETH e começou a transferir fundos para… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— AlertaPeckShield (@AlertaPeckShield) 26 de janeiro de 2026

A CertiK identificou a causa raiz como uma vulnerabilidade de “chamada arbitrária” no contrato SwapNet. Essa falha permitiu que um atacante iniciasse transferências não autorizadas de carteiras que haviam aprovado anteriormente o rota, efetivamente burlando as salvaguardas normais.

Movimento de Fundos e Escopo

A atividade na blockchain mostra que o atacante trocou aproximadamente 10,5 milhões de dólares em USDC no Base por cerca de 3.655 ETH, antes de transferir os ativos para a Ethereum. O movimento entre blockchains parece ter sido planejado para dificultar o rastreamento e os esforços de recuperação.

Importante, o incidente não afetou todos os usuários do Matcha. A exposição foi limitada às carteiras que desativaram manualmente as aprovações únicas e concederam permissões diretas aos contratos do SwapNet.

                Bitcoin supera ouro e prata em enquete de investimento de 100.000 dólares

Medidas de Resposta de Emergência

Em resposta à exploração, o Matcha Meta tomou várias medidas imediatas:

• Os contratos do SwapNet foram suspensos para evitar novas perdas.
• Os usuários foram aconselhados a revogar aprovações existentes, especialmente para o contrato do roteador SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• A plataforma removeu a opção de desativar aprovações únicas, visando reduzir riscos semelhantes no futuro.

O incidente destaca as compensações de segurança associadas às aprovações persistentes de contratos e reforça a importância de revisões regulares de permissões, especialmente ao interagir com agregadores e contratos de roteamento.