En Bref
- L’exploitation de SwapNet entraîne un drain de 16,8 millions de dollars après que les utilisateurs ont désactivé les protections d’autorisation unique.
- L’attaquant a échangé 10,5 millions de USDC contre de l’ETH sur Base avant de le transférer vers Ethereum.
- Matcha Meta désactive les contrats affectés alors que des cabinets de sécurité signalent des risques plus larges dans la DeFi.
Une faille de sécurité liée à SwapNet a entraîné une perte d’environ 16,8 millions de dollars, affectant les utilisateurs interagissant via Matcha Meta. L’incident a principalement concerné les utilisateurs ayant désactivé les autorisations uniques, exposant ainsi des permissions de jetons persistantes.
La société de sécurité blockchain PeckShieldAlert a identifié l’exploitation et tracé les mouvements initiaux des fonds. L’attaquant a ciblé les contrats de routeur SwapNet qui conservaient des autorisations illimitées provenant des portefeuilles des utilisateurs affectés.
Sur le réseau Base, l’attaquant a échangé environ 10,5 millions de dollars en USDC contre environ 3 655 ETH. Peu de temps après, l’attaquant a commencé à transférer les actifs convertis vers le réseau principal Ethereum pour compliquer le suivi.
SwapNet fonctionne comme un routeur de liquidité utilisé par Matcha Meta pour obtenir des prix et une liquidité profonde. L’exploitation a impliqué l’abus des autorisations existantes plutôt que la violation des clés privées ou de l’infrastructure principale.
Matcha Meta, développé par l’équipe 0x, a confirmé le problème et a immédiatement désactivé les contrats SwapNet affectés. La plateforme a également supprimé l’option permettant aux utilisateurs d’accorder des autorisations directes à des agrégateurs tiers.
L’enquête s’élargit alors que des cabinets de sécurité signalent des risques plus importants
Une analyse plus approfondie a suggéré que l’exploitation provenait d’une vulnérabilité d’appel arbitraire dans les contrats SwapNet. Ce défaut permettait aux attaquants de transférer des jetons approuvés sans demander de nouvelles permissions.
La société de sécurité BlockSec a rapporté que plusieurs contrats sur différentes chaînes ont subi des pertes dépassant 17 millions de dollars. Les réseaux affectés comprenaient Ethereum, Arbitrum, Base et BNB Chain, ce qui augmente la portée de l’incident.
Par ailleurs, CertiK a estimé que près de 13,3 millions de dollars en USDC avaient été volés dans le cadre d’activités connexes.
Certains contrats impliqués restaient en source fermée et non vérifiés lors du déploiement.
Matcha Meta a ensuite confirmé que les contrats principaux 0x n’étaient pas affectés par l’incident.
Les utilisateurs s’appuyant sur des autorisations d’un seul coup via l’infrastructure 0x sont restés indemnes.
L’incident a relancé la vigilance concernant les autorisations persistantes de jetons dans la finance décentralisée.
Les permissions illimitées offrent de la commodité mais augmentent l’exposition en cas de défaillance des contrats intelligents.
Par ailleurs, l’enquêteur on-chain ZachXBT a critiqué la réponse tardive de Circle pour geler le reste des USDC. Environ 3 millions de dollars seraient restés à des adresses éligibles au gel pendant la période de réponse.
La faille s’ajoute à une liste croissante de défaillances de sécurité dans la DeFi au début de 2026. Les données du secteur montrent que les fonds cryptographiques volés ont atteint des niveaux record ces dernières années, augmentant la pression sur les pratiques de sécurité des protocoles.
|
| AVERTISSEMENT : Les informations présentes sur ce site sont fournies à titre de commentaire général sur le marché et ne constituent pas un conseil en investissement. Nous vous encourageons à faire vos propres recherches avant d’investir. |
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Adresse présumée de pirate informatique dominant les événements de liquidation de CAKE et THE, Venus génère un déficit de 2,15 millions de dollars
Le 15 mars, une adresse supposément associée à un pirate informatique a reçu 7400 ETH depuis Tornado Cash, orchestrant des événements de liquidation de garanties pour CAKE et THE, générant un déficit d'environ 2,15 millions de dollars pour Venus. L'adresse a manipulé le prix de THE par des opérations complexes, entraînant finalement la liquidation de ses garanties sur Venus, bien qu'une importante quantité d'emprunts demeurent impayés. L'analyse suggère que cet événement pourrait être une stratégie utilisée pour réaliser des gains sur un certain CEX.
GateNewsIl y a 5h
Venus Protocol suspend les opérations d'emprunt et de retrait du token THE, les autres marchés fonctionnent normalement
Gate News - Le 15 mars, Venus Protocol a publié un avis de sécurité indiquant qu’au cours de l’enquête sur les activités anormales dans le pool THE, des mesures préventives ont été prises pour éviter toute utilisation abusive supplémentaire, notamment la suspension immédiate de tous les emprunts et retraits de jetons THE. Cette mesure restera en vigueur jusqu’à la fin de l’enquête. Venus Protocol a précisé que les autres marchés n’étaient pas affectés et continueront à fonctionner normalement.
GateNewsIl y a 5h
Échange fermé BITGIN : le cerveau du blanchiment d'argent poursuivi à Taïwan, avec un montant impliqué dépassant 150 millions de nouveaux dollars taïwanais
Les procureurs taïwanais ont engagé des poursuites contre l'échange de cryptomonnaies "Biijing" et 10 personnes responsables, soupçonnés de collaboration avec des organisations frauduleuses pour commettre des fraudes et du blanchiment d'argent. L'affaire implique 46 victimes avec des pertes frauduleuses dépassant 150 millions. Les frères et sœurs Zhang pourraient faire face à 12 ans de prison.
GateNewsIl y a 18h
Utilisateur Aave perd des millions dans $50M Swap en raison d'un impact de prix élevé
Un échange $50M AAVE a échoué en raison d'un impact de prix important, malgré la confirmation par l'utilisateur des avertissements de glissement. Aave remboursera $600K en frais, soulignant la nécessité d'améliorer les protections des utilisateurs dans les échanges DeFi, tandis que CoW Swap fonctionne correctement en cas de conditions de marché extrêmes.
CryptoFrontNews03-13 10:06
Fantasy.top polémique de retrait : un investisseur providentiel accuse une disparition, le fondateur affirme n'avoir jamais utilisé un seul centime
Les fondateurs de Fantasy.top nient les accusations de remboursement aux investisseurs providentiels, soulignant que l'entreprise fonctionne depuis deux ans grâce aux revenus de ses produits et n'a pas utilisé les fonds des investisseurs. Certains investisseurs ont déclaré ne pas avoir reçu les rapports financiers attendus et appellent les fondateurs à assumer leurs responsabilités. La plateforme avait reçu de bonnes évaluations, mais s'est récemment tournée vers le marché des prédictions, en attente d'explications supplémentaires de la part des autorités.
MarketWhisper03-12 02:16
Fantasy.top le fondateur nie la suspicion de "soft Rug Pull", affirmant qu'il n'a pas utilisé les fonds des investisseurs
Fantasy.top fait face à des accusations de la part d'investisseurs providentiels, affirmant que l'équipe a disparu et refuse de rembourser 50 000 dollars, ce qui a suscité des soupçons de "Soft Rug Pull". Le fondateur Travis Bickle a répliqué en disant que l'entreprise fonctionne grâce aux revenus de ses produits, sans utiliser les fonds des investisseurs. Plusieurs investisseurs renommés ont également déclaré avoir rencontré des situations similaires.
GateNews03-12 00:12
