Коротко
- Вразливість SwapNet спричинила витік $16,8M після того, як користувачі вимкнули захист одноразових дозволів.
- Зловмисник обміняв $10,5M USDC на ETH на Base перед мостом до Ethereum.
- Matcha Meta вимкнула уразливі контракти, оскільки компанії з безпеки вказують на ширші ризики у DeFi.
Злом, пов’язаний із SwapNet, призвів до втрат близько $16,8 мільйонів, що вплинуло на користувачів, які взаємодіяли через Matcha Meta. Інцидент здебільшого торкнувся користувачів, які вимкнули одноразові дозволи, тим самим піддавши ризику постійні дозволи на токени.
Команда з безпеки блокчейну PeckShieldAlert виявила вразливість і простежила початкові рухи коштів. Зловмисник цілеспрямовано атакував контракти маршрутизатора SwapNet, які зберігали необмежені дозволи від постраждалих гаманців користувачів.
У мережі Base зловмисник обміняв приблизно $10,5 мільйонів USDC на близько 3 655 ETH. Незабаром після цього він почав мостити конвертовані активи до основної мережі Ethereum, щоб ускладнити відстеження.
SwapNet працює як маршрутизатор ліквідності, який використовується Matcha Meta для пошуку цін і глибокої ліквідності. Вразливість полягала у зловживанні існуючих дозволів, а не у зломі приватних ключів або основної інфраструктури.
Matcha Meta, створена командою 0x, підтвердила проблему і одразу вимкнула уразливі контракти SwapNet. Платформа також видалила опцію, яка дозволяла користувачам надавати прямі дозволи третім сторонам-агрегаторам.
Розслідування розширюється, оскільки компанії з безпеки вказують на ширші ризики
Додатковий аналіз показав, що вразливість виникла через довільний виклик у контрактах SwapNet. Ця помилка дозволяла зловмисникам переводити затверджені токени без запиту нових дозволів.
Компанія з безпеки BlockSec повідомила, що кілька контрактів на різних ланцюгах зазнали втрат понад $17 мільйонів. Постраждали мережі Ethereum, Arbitrum, Base і BNB Chain, що розширює масштаб інциденту.
Окремо CertiK оцінив, що викрадено близько $13,3 мільйонів USDC у зв’язку з цією діяльністю.
Деякі контракти залишилися закритими і неперевіреними під час розгортання.
Matcha Meta пізніше підтвердила, що основні контракти 0x не постраждали від інциденту.
Користувачі, які використовували одноразові дозволи через інфраструктуру 0x, залишилися незатронутими.
Цей інцидент знову підняв питання щодо постійних дозволів на токени у децентралізованих фінансах.
Необмежені дозволи забезпечують зручність, але підвищують ризики під час збоїв у смарт-контрактах.
Тим часом, дослідник блокчейну ZachXBT критикував затримку у відповіді Circle щодо заморожування залишків USDC. Близько $3 мільйонів, за повідомленнями, залишалися на адресах, які могли бути заморожені під час відповіді.
Злом додає до зростаючого списку провалів безпеки у DeFi на початку 2026 року. Дані галузі показують, що викрадені криптофонди досягли рекордних рівнів за останні роки, що посилює тиск на практики безпеки протоколів.
|
| ДИСКЛЕЙМЕР: Інформація на цьому сайті надається як загальний коментар до ринку і не є інвестиційною порадою. Ми рекомендуємо проводити власне дослідження перед інвестуванням. |
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
HypurrFi розкриває, що ранні версії Aave V3 містили вразливість з похибкою заокруглення, через що було призупинено нові позики на ринках XAUT0 та UBTC
HyperEVM повідомляє, що протокол позик без довіреності HypurrFi в попередніх версіях Aave V3 має вразливість «помилка заокруглення», яка дозволяє зловмиснику вивести базові токени. HypurrFi гарантує безпеку коштів користувачів, призупинивши операції з поставки та позик у постраждалих ринках, а також співпрацює з відповідними сторонами для вирішення безпекових питань.
GateNews2год тому
Американський суддя видав тимчасову заборону для BlockFills, заморозивши спірні активи на суму 70.6 BTC та інші
Федеральний суд США видав тимчасовий забор для криптовалютної позичальної платформи BlockFills, заморозивши її спірні активи у відповідь на позов Dominion Capital, який звинувачує її у привласненні клієнтських активів та приховуванні збитків. BlockFills зазнав збитків у розмірі 75 мільйонів доларів через неефективне управління та припинив виведення коштів.
GateNews3год тому
Команда монети MONTRA «зникла», ринкова капіталізація миттєво зменшилася на 80%, звинувачують у цьому призов у Ірані
Криптовалютний проект Montra Finance призупинив свою діяльність через мобілізацію команди розробників до Ірану, що спричинило обвал ринкової капіталізації токена на 80%. Відсутність офіційної інформації викликала сумніви у інвесторів, частина з яких вважає це «шахрайством з втечею». Ця подія підкреслює вплив геополітичних факторів на ринок криптовалют, інвесторам слід бути обережними щодо непрозорих проектів.
GateNews3год тому
HypurrFi виявила вразливість "помилка заокруглення" у ранній версії Aave V3, тимчасово припинено нові позики на ринках XAUT0 та UBTC
HyperEVM's HypurrFi опублікував повідомлення на платформі X про те, що у попередніх версіях Aave V3 до 3.5 існує вразливість через "помилку округлення", яку зловмисники можуть використати для отримання базових токенів. Постраждалі ринки призупинили відповідні операції, безпека коштів користувачів під захистом, команда працює над вирішенням проблеми.
GateNews9год тому
Тайваньська мобільна платіжна система «RE紅包» раптово закрилася після 9 років роботи! Мільйони користувачів залишилися без доступу до своїх коштів, а компанія шукає злиття або поглинання, щоб врятувати фінанси.
RE紅包(RE·X) після майже дев’яти років роботи оголосив про припинення діяльності через вплив геополітичної ситуації, труднощі з залученням фінансування та погіршення фінансового стану. Рахунки десятків тисяч користувачів були заморожені, і процес ліквідації вже розпочато; користувачам потрібно подати свої вимоги щодо кредиторських претензій до 15 березня 2026 року. Ця подія підкреслює ризики, пов’язані з захистом коштів користувачів на платформах цифрових платежів у Тайвані, і вимагає посилення регуляторних заходів.
動區BlockTempo03-04 04:55
Kalshi «Хамені зрікається трону»: контракт на 50 мільйонів доларів викликав суперечки! Генеральний директор закликає: відмовтеся від арбітражу смерті
Kalshi нещодавно через новину про смерть Хаміні викликав суперечки, багато коштів вкладено у відповідні прогнози контрактів, що спричинило хаос із розрахунками та призупинення торгів. Хоча Kalshi повернув користувачам чисті збитки приблизно у 2,2 мільйони доларів США, рекламна діяльність платформи була піддана критиці, а також викликала вимоги американських депутатів розслідувати подібні контракти, пов’язані з вбивствами. Polymarket також опинився у центрі суперечок, оскільки розрахунки певних контрактів викликали невдоволення користувачів і підозри щодо внутрішньої торгівлі.
区块客03-03 12:06
