Коротко
- Вразливість SwapNet спричинила витік $16,8M після того, як користувачі вимкнули захист одноразових дозволів.
- Зловмисник обміняв $10,5M USDC на ETH на Base перед мостом до Ethereum.
- Matcha Meta вимкнула уразливі контракти, оскільки компанії з безпеки вказують на ширші ризики у DeFi.
Злом, пов’язаний із SwapNet, призвів до втрат близько $16,8 мільйонів, що вплинуло на користувачів, які взаємодіяли через Matcha Meta. Інцидент здебільшого торкнувся користувачів, які вимкнули одноразові дозволи, тим самим піддавши ризику постійні дозволи на токени.
Команда з безпеки блокчейну PeckShieldAlert виявила вразливість і простежила початкові рухи коштів. Зловмисник цілеспрямовано атакував контракти маршрутизатора SwapNet, які зберігали необмежені дозволи від постраждалих гаманців користувачів.
У мережі Base зловмисник обміняв приблизно $10,5 мільйонів USDC на близько 3 655 ETH. Незабаром після цього він почав мостити конвертовані активи до основної мережі Ethereum, щоб ускладнити відстеження.
SwapNet працює як маршрутизатор ліквідності, який використовується Matcha Meta для пошуку цін і глибокої ліквідності. Вразливість полягала у зловживанні існуючих дозволів, а не у зломі приватних ключів або основної інфраструктури.
Matcha Meta, створена командою 0x, підтвердила проблему і одразу вимкнула уразливі контракти SwapNet. Платформа також видалила опцію, яка дозволяла користувачам надавати прямі дозволи третім сторонам-агрегаторам.
Розслідування розширюється, оскільки компанії з безпеки вказують на ширші ризики
Додатковий аналіз показав, що вразливість виникла через довільний виклик у контрактах SwapNet. Ця помилка дозволяла зловмисникам переводити затверджені токени без запиту нових дозволів.
Компанія з безпеки BlockSec повідомила, що кілька контрактів на різних ланцюгах зазнали втрат понад $17 мільйонів. Постраждали мережі Ethereum, Arbitrum, Base і BNB Chain, що розширює масштаб інциденту.
Окремо CertiK оцінив, що викрадено близько $13,3 мільйонів USDC у зв’язку з цією діяльністю.
Деякі контракти залишилися закритими і неперевіреними під час розгортання.
Matcha Meta пізніше підтвердила, що основні контракти 0x не постраждали від інциденту.
Користувачі, які використовували одноразові дозволи через інфраструктуру 0x, залишилися незатронутими.
Цей інцидент знову підняв питання щодо постійних дозволів на токени у децентралізованих фінансах.
Необмежені дозволи забезпечують зручність, але підвищують ризики під час збоїв у смарт-контрактах.
Тим часом, дослідник блокчейну ZachXBT критикував затримку у відповіді Circle щодо заморожування залишків USDC. Близько $3 мільйонів, за повідомленнями, залишалися на адресах, які могли бути заморожені під час відповіді.
Злом додає до зростаючого списку провалів безпеки у DeFi на початку 2026 року. Дані галузі показують, що викрадені криптофонди досягли рекордних рівнів за останні роки, що посилює тиск на практики безпеки протоколів.
|
| ДИСКЛЕЙМЕР: Інформація на цьому сайті надається як загальний коментар до ринку і не є інвестиційною порадою. Ми рекомендуємо проводити власне дослідження перед інвестуванням. |
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Користувач Aave втратив мільйони в $50M Swap серед високого цінового впливу
Своп $50M AAVE не вдався через значний вплив на ціну, незважаючи на те, що користувач підтвердив попередження про проковзування. Aave поверне $600K у комісіях, що підкреслює необхідність поліпшення захисту користувачів у торгівлі DeFi, тоді як CoW Swap працює коректно в умовах екстремальної волатильності на ринку.
CryptoFrontNews3год тому
Fantasy.top Скандал з виведенням коштів: ангельські інвестори звинувачують у зникненні, засновник стверджує, що ніколи не використовував жодної копійки
Засновник Fantasy.top заперечує звинувачення у поверненні коштів ангельським інвесторам, підкреслюючи, що компанія протягом двох років функціонувала за рахунок доходів від продукту і не використовувала інвестиційні кошти. Деякі інвестори заявили, що не отримали належних фінансових звітів і закликали засновника нести відповідальність. Платформа раніше отримувала хороші відгуки, але останнім часом перейшла до прогнозування ринків, і офіційні особи ще мають надати додаткові пояснення.
MarketWhisper03-12 02:16
Засновник Fantasy.top заперечує звинувачення у "м'якому Rug Pull", стверджуючи, що не використовував кошти інвесторів
Fantasy.top стикається з звинуваченнями від ангельських інвесторів, які стверджують, що команда втекла і відмовилася повернути 50 000 доларів, що викликало підозри у "м'якому Rug Pull". Засновник Travis Bickle заперечує, що компанія працює на доходи від продукту і не використовує інвестиційні кошти. Кілька відомих інвесторів також заявили, що стикнулися з подібною ситуацією.
GateNews03-12 00:12
YZi Labs вимагає від CEA Industries відповісти на операційні питання та припинити 20-річний договір управління активами з 10X Capital
YZi Labs 11 березня заявила, що CEA Industries стикається з операційною кризою, браком ключової управлінської команди та інфраструктури, а нагляд ради неефективний. YZi Labs вимагає від ради відкрито відповісти та розслідувати директора Hans Thomas, а також припинити угоду з 10X Capital Asset Management.
GateNews03-11 12:50
Міністерство юстиції США розслідує іранську діяльність через один із глобальних великих CEX щодо обходу санкцій, що стосується понад 1 мільярда доларів підозрілих коштів
Gate News повідомляє, що 11 березня Міністерство юстиції США розпочало розслідування того, як Іран використовує одну з глобальних великих криптовалютних бірж для обходу американських санкцій. За даними компанії та інформованих джерел, раніше внутрішнє розслідування щодо підозрілих фінансових потоків на суму понад 1 мільярд доларів було припинено. Ці кошти проходили через платформу до мережі, яка фінансує іранську підтримувану терористичну організацію (включно з хуситами з Ємену). Основною увагою розслідування є рух відповідних коштів на цій платформі та пов’язані з цим ризики недотримання правил.
GateNews03-11 11:04
Деякий CEX порушує правила боротьби з відмиванням грошей і може бути тимчасово призупинений від обслуговування нових клієнтів
Южнокорейське агентство фінансової розвідки запровадило санкції щодо певної криптовалютної біржі через її дозволи користувачам переказувати кошти на незареєстровані закордонні платформи та невиконання процедур KYC, що може призвести до тимчасової зупинки обслуговування нових клієнтів на 6 місяців. Раніше ця біржа зазнала збитків у розмірі 40 мільярдів доларів у Bitcoin через помилки в операціях, а тепер також піддається розслідуванню щодо регулювання реклами.
GateNews03-11 02:59
