En Bref
- L’exploitation de SwapNet entraîne un drain de 16,8 millions de dollars après que les utilisateurs ont désactivé les protections d’autorisation unique.
- L’attaquant a échangé 10,5 millions de USDC contre de l’ETH sur Base avant de le transférer vers Ethereum.
- Matcha Meta désactive les contrats affectés alors que des cabinets de sécurité signalent des risques plus larges dans la DeFi.
Une faille de sécurité liée à SwapNet a entraîné une perte d’environ 16,8 millions de dollars, affectant les utilisateurs interagissant via Matcha Meta. L’incident a principalement concerné les utilisateurs ayant désactivé les autorisations uniques, exposant ainsi des permissions de jetons persistantes.
La société de sécurité blockchain PeckShieldAlert a identifié l’exploitation et tracé les mouvements initiaux des fonds. L’attaquant a ciblé les contrats de routeur SwapNet qui conservaient des autorisations illimitées provenant des portefeuilles des utilisateurs affectés.
Sur le réseau Base, l’attaquant a échangé environ 10,5 millions de dollars en USDC contre environ 3 655 ETH. Peu de temps après, l’attaquant a commencé à transférer les actifs convertis vers le réseau principal Ethereum pour compliquer le suivi.
SwapNet fonctionne comme un routeur de liquidité utilisé par Matcha Meta pour obtenir des prix et une liquidité profonde. L’exploitation a impliqué l’abus des autorisations existantes plutôt que la violation des clés privées ou de l’infrastructure principale.
Matcha Meta, développé par l’équipe 0x, a confirmé le problème et a immédiatement désactivé les contrats SwapNet affectés. La plateforme a également supprimé l’option permettant aux utilisateurs d’accorder des autorisations directes à des agrégateurs tiers.
L’enquête s’élargit alors que des cabinets de sécurité signalent des risques plus importants
Une analyse plus approfondie a suggéré que l’exploitation provenait d’une vulnérabilité d’appel arbitraire dans les contrats SwapNet. Ce défaut permettait aux attaquants de transférer des jetons approuvés sans demander de nouvelles permissions.
La société de sécurité BlockSec a rapporté que plusieurs contrats sur différentes chaînes ont subi des pertes dépassant 17 millions de dollars. Les réseaux affectés comprenaient Ethereum, Arbitrum, Base et BNB Chain, ce qui augmente la portée de l’incident.
Par ailleurs, CertiK a estimé que près de 13,3 millions de dollars en USDC avaient été volés dans le cadre d’activités connexes.
Certains contrats impliqués restaient en source fermée et non vérifiés lors du déploiement.
Matcha Meta a ensuite confirmé que les contrats principaux 0x n’étaient pas affectés par l’incident.
Les utilisateurs s’appuyant sur des autorisations d’un seul coup via l’infrastructure 0x sont restés indemnes.
L’incident a relancé la vigilance concernant les autorisations persistantes de jetons dans la finance décentralisée.
Les permissions illimitées offrent de la commodité mais augmentent l’exposition en cas de défaillance des contrats intelligents.
Par ailleurs, l’enquêteur on-chain ZachXBT a critiqué la réponse tardive de Circle pour geler le reste des USDC. Environ 3 millions de dollars seraient restés à des adresses éligibles au gel pendant la période de réponse.
La faille s’ajoute à une liste croissante de défaillances de sécurité dans la DeFi au début de 2026. Les données du secteur montrent que les fonds cryptographiques volés ont atteint des niveaux record ces dernières années, augmentant la pression sur les pratiques de sécurité des protocoles.
|
| AVERTISSEMENT : Les informations présentes sur ce site sont fournies à titre de commentaire général sur le marché et ne constituent pas un conseil en investissement. Nous vous encourageons à faire vos propres recherches avant d’investir. |
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
HypurrFi révèle qu'une vulnérabilité de erreur d'arrondi existait dans la version précoce d'Aave V3, le marché XAUT0 et UBTC a été suspendu pour de nouveaux emprunts.
HyperEVM protocoles de prêt délégué HypurrFi divulgue une vulnérabilité de "erreur d'arrondi" dans la version précédente d'Aave V3, permettant à un attaquant d'extraire des jetons sous-jacents. HypurrFi garantit la sécurité des fonds des utilisateurs, a suspendu les opérations de fourniture et d'emprunt sur les marchés affectés, et collabore avec les parties concernées pour traiter les problèmes de sécurité.
GateNewsIl y a 12h
Un juge américain émet une ordonnance restrictive temporaire contre BlockFills, gelant 70.6 BTC et d'autres actifs contestés
Un juge fédéral américain a émis une ordonnance restrictive temporaire contre l'institution de prêt en cryptomonnaie BlockFills, gelant ses actifs contestés, en réponse à une poursuite de Dominion Capital, qui l'accuse de détournement des actifs des clients et de dissimulation de pertes. BlockFills a enregistré une perte de 75 millions de dollars en raison d'une mauvaise gestion et a suspendu les retraits.
GateNewsIl y a 12h
L'équipe du jeton MONTRA « a disparu », la capitalisation boursière s'évapore instantanément de 80 %, imputé à la conscription en Iran
Le projet de cryptomonnaie Montra Finance a été suspendu en raison de la mobilisation de l'équipe de développement par l'Iran, entraînant une chute de 80 % de la capitalisation du jeton. L'absence d'informations officielles a suscité des doutes chez les investisseurs, certains estimant qu'il s'agit d'une « escroquerie de fuite ». Cet incident met en évidence l'impact de la géopolitique sur le marché des cryptomonnaies, et les investisseurs doivent rester vigilants face à des projets peu transparents.
GateNewsIl y a 13h
HypurrFi révèle une vulnérabilité de "erreur d'arrondi" dans la version précoce d'Aave V3, la mise en pause des nouveaux prêts sur les marchés XAUT0 et UBTC
HyperEVM de HypurrFi a publié un message sur la plateforme X, la version précédente d'Aave V3 3.5 présente une vulnérabilité de « erreur d'arrondi », que les attaquants peuvent exploiter pour extraire les jetons sous-jacents. Les marchés affectés ont suspendu les opérations concernées, la sécurité des fonds des utilisateurs n'est pas compromise, et l'équipe travaille en collaboration pour résoudre le problème.
GateNewsIl y a 19h
Le paiement mobile à Taïwan « RE Red Envelope » a soudainement fait faillite après 9 ans d'exploitation ! Des milliers d'utilisateurs voient leurs fonds gelés, leurs capitaux épuisés, en quête d'une acquisition
RE红包(RE·X) après près de 9 ans d’exploitation a annoncé la cessation de ses activités, en raison de l’impact de la géopolitique, des difficultés de collecte de fonds, ce qui a entraîné une détérioration de la situation financière. Les comptes de dizaines de milliers d’utilisateurs ont été gelés et la procédure de liquidation a été engagée, les utilisateurs doivent déclarer leurs créances avant le 15 mars 2026. Cet incident met en évidence les risques liés à la protection des fonds des utilisateurs sur les plateformes de paiement numériques à Taïwan, soulignant la nécessité de renforcer la régulation.
動區BlockTempo03-04 04:55
Kalshi « Haminé abdique » contrat de 50 millions de dollars suscite la controverse ! Le PDG lance un appel : refuser l'arbitrage de la mort
Kalshi a récemment suscité la controverse suite à la mort de Hamini, avec de nombreux fonds investis dans des contrats de prédiction liés, entraînant des problèmes de règlement et la suspension des échanges. Bien que Kalshi ait remboursé aux utilisateurs une perte nette d'environ 2,2 millions de dollars, ses actions promotionnelles ont été critiquées, ce qui a conduit des parlementaires américains à demander une enquête sur des contrats similaires liés à des assassinats. Polymarket fait également face à des controverses, la liquidation de certains contrats ayant suscité l'insatisfaction des utilisateurs, ainsi que des soupçons de délit d'initié.
区块客03-03 12:06
