Коротко
- Вразливість SwapNet спричинила витік $16,8M після того, як користувачі вимкнули захист одноразових дозволів.
- Зловмисник обміняв $10,5M USDC на ETH на Base перед мостом до Ethereum.
- Matcha Meta вимкнула уразливі контракти, оскільки компанії з безпеки вказують на ширші ризики у DeFi.
Злом, пов’язаний із SwapNet, призвів до втрат близько $16,8 мільйонів, що вплинуло на користувачів, які взаємодіяли через Matcha Meta. Інцидент здебільшого торкнувся користувачів, які вимкнули одноразові дозволи, тим самим піддавши ризику постійні дозволи на токени.
Команда з безпеки блокчейну PeckShieldAlert виявила вразливість і простежила початкові рухи коштів. Зловмисник цілеспрямовано атакував контракти маршрутизатора SwapNet, які зберігали необмежені дозволи від постраждалих гаманців користувачів.
У мережі Base зловмисник обміняв приблизно $10,5 мільйонів USDC на близько 3 655 ETH. Незабаром після цього він почав мостити конвертовані активи до основної мережі Ethereum, щоб ускладнити відстеження.
SwapNet працює як маршрутизатор ліквідності, який використовується Matcha Meta для пошуку цін і глибокої ліквідності. Вразливість полягала у зловживанні існуючих дозволів, а не у зломі приватних ключів або основної інфраструктури.
Matcha Meta, створена командою 0x, підтвердила проблему і одразу вимкнула уразливі контракти SwapNet. Платформа також видалила опцію, яка дозволяла користувачам надавати прямі дозволи третім сторонам-агрегаторам.
Розслідування розширюється, оскільки компанії з безпеки вказують на ширші ризики
Додатковий аналіз показав, що вразливість виникла через довільний виклик у контрактах SwapNet. Ця помилка дозволяла зловмисникам переводити затверджені токени без запиту нових дозволів.
Компанія з безпеки BlockSec повідомила, що кілька контрактів на різних ланцюгах зазнали втрат понад $17 мільйонів. Постраждали мережі Ethereum, Arbitrum, Base і BNB Chain, що розширює масштаб інциденту.
Окремо CertiK оцінив, що викрадено близько $13,3 мільйонів USDC у зв’язку з цією діяльністю.
Деякі контракти залишилися закритими і неперевіреними під час розгортання.
Matcha Meta пізніше підтвердила, що основні контракти 0x не постраждали від інциденту.
Користувачі, які використовували одноразові дозволи через інфраструктуру 0x, залишилися незатронутими.
Цей інцидент знову підняв питання щодо постійних дозволів на токени у децентралізованих фінансах.
Необмежені дозволи забезпечують зручність, але підвищують ризики під час збоїв у смарт-контрактах.
Тим часом, дослідник блокчейну ZachXBT критикував затримку у відповіді Circle щодо заморожування залишків USDC. Близько $3 мільйонів, за повідомленнями, залишалися на адресах, які могли бути заморожені під час відповіді.
Злом додає до зростаючого списку провалів безпеки у DeFi на початку 2026 року. Дані галузі показують, що викрадені криптофонди досягли рекордних рівнів за останні роки, що посилює тиск на практики безпеки протоколів.
|
| ДИСКЛЕЙМЕР: Інформація на цьому сайті надається як загальний коментар до ринку і не є інвестиційною порадою. Ми рекомендуємо проводити власне дослідження перед інвестуванням. |
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Команда з управління ризиками Chaos Labs через проблеми з бюджетом пішла від Aave, чи викликає питання безпека V4?
Команда з управління ризиками Chaos Labs оголосила про припинення співпраці з Aave через тривалі збитки та неможливість узгодити розбіжності в управлінні ризиками. У цей момент Aave V4 щойно запущено, і Chaos після оновлення має знову побудувати інструменти для роботи з ризиками, а потреба в бюджеті перевищує прийнятний для Aave рівень. Крім того, Aave стикається з відходом кількох ключових членів команди, через що стабільність операцій під питанням.
ChainNewsAbmedia1год тому
Leap Wallet закриється до 28 травня, оскільки команда згортатиме застосунки та валідатор
Leap Wallet завершує роботу до 28 травня, припиняючи підтримку своїх застосунків і сервісів. Користувачам наполегливо радять повторно делегувати ATOM і оперативно перенести активи, адже повне закриття означає значне завершення для цього багатоланцюгового проєкту гаманця.
CryptoNewsFlash3год тому
Кошельок Phantom завис! У акаунті відображається нуль, офіційно підтверджено безпеку коштів
Phantom криптогаманець 7 квітня зазнав короткочасного перебою в роботі, через що користувачі не могли нормально переглядати ціни токенів і баланс рахунків, а в деяких користувацьких інтерфейсах баланс відображався як нульовий. Офіційно підкреслили, що цей інцидент є технічною проблемою на рівні відображення у фронтенді, тоді як фактичні активи в мережі не постраждали. У той самий день, коли сталася зупинка сервісу, Phantom отримав від США лист без заперечень від CFTC, що дозволяє інтеграцію регульованих деривативів.
MarketWhisper8год тому
Chaos Labs виходить з Aave, оскільки DeFi-управління ризиками має правову прогалину
Компанія з управління ризиками Chaos Labs оголосила про припинення трирічного співробітництва з угодою про DeFi-позики Aave. Причина — у сторін є принципові розбіжності щодо підходів до управління ризиками. Цей вихід виявив юридичні «сірі зони» в DeFi-екосистемі, де бракує регуляторних гарантій, зокрема після нещодавнього інциденту з оракулом, який призвів до помилкового ліквідування приблизно на 27 мільйонів доларів. Відокремлення Chaos Labs від Aave залишило Aave в період важливого оновлення V4 без належної керівної підтримки, що ще більше посилило занепокоєння щодо відповідальності децентралізованих систем ризику.
MarketWhisper8год тому
Денарія зазнала атаки смартконтракту, втративши приблизно 165 тис. доларів США
Децентралізована платформа для безстрокової контрактної торгівлі Denaria оголосила, що на її розумний контракт було здійснено атаку, внаслідок чого вона зазнала збитків приблизно на 165k доларів США. Команда розпочала розслідування разом із аудиторами та призупинила роботу користувацького інтерфейсу, готуючи процес повернення коштів. Denaria сподівається за допомогою програми винагороди запросити нападника вийти на зв’язок, щоб уникнути судових дій.
GateNews23год тому
Південнокорейські вимоги FSC зобов’язують біржі створити систему звірки активів кожні 5 хвилин, завершити розгортання до кінця травня
Кінсервалеторі фінансових послуг Республіки Корея вимагає, щоб усі біржі криптовалют створили систему для звірки активів кожні 5 хвилин, і щоб до кінця травня її було завершено. Виявлено, що в деяких біржах частота звірки недостатня, а також існують недоліки в механізмі торговельного припинення (ф’юзинг/трейдинг-зупинки). Усі біржі мають оприлюднити залишки активів і пройти аудит. Регуляторні заходи є наслідком операційної помилки на біржі в лютому.
GateNews04-06 09:16
