Коротко
- Вразливість SwapNet спричинила витік $16,8M після того, як користувачі вимкнули захист одноразових дозволів.
- Зловмисник обміняв $10,5M USDC на ETH на Base перед мостом до Ethereum.
- Matcha Meta вимкнула уразливі контракти, оскільки компанії з безпеки вказують на ширші ризики у DeFi.
Злом, пов’язаний із SwapNet, призвів до втрат близько $16,8 мільйонів, що вплинуло на користувачів, які взаємодіяли через Matcha Meta. Інцидент здебільшого торкнувся користувачів, які вимкнули одноразові дозволи, тим самим піддавши ризику постійні дозволи на токени.
Команда з безпеки блокчейну PeckShieldAlert виявила вразливість і простежила початкові рухи коштів. Зловмисник цілеспрямовано атакував контракти маршрутизатора SwapNet, які зберігали необмежені дозволи від постраждалих гаманців користувачів.
У мережі Base зловмисник обміняв приблизно $10,5 мільйонів USDC на близько 3 655 ETH. Незабаром після цього він почав мостити конвертовані активи до основної мережі Ethereum, щоб ускладнити відстеження.
SwapNet працює як маршрутизатор ліквідності, який використовується Matcha Meta для пошуку цін і глибокої ліквідності. Вразливість полягала у зловживанні існуючих дозволів, а не у зломі приватних ключів або основної інфраструктури.
Matcha Meta, створена командою 0x, підтвердила проблему і одразу вимкнула уразливі контракти SwapNet. Платформа також видалила опцію, яка дозволяла користувачам надавати прямі дозволи третім сторонам-агрегаторам.
Розслідування розширюється, оскільки компанії з безпеки вказують на ширші ризики
Додатковий аналіз показав, що вразливість виникла через довільний виклик у контрактах SwapNet. Ця помилка дозволяла зловмисникам переводити затверджені токени без запиту нових дозволів.
Компанія з безпеки BlockSec повідомила, що кілька контрактів на різних ланцюгах зазнали втрат понад $17 мільйонів. Постраждали мережі Ethereum, Arbitrum, Base і BNB Chain, що розширює масштаб інциденту.
Окремо CertiK оцінив, що викрадено близько $13,3 мільйонів USDC у зв’язку з цією діяльністю.
Деякі контракти залишилися закритими і неперевіреними під час розгортання.
Matcha Meta пізніше підтвердила, що основні контракти 0x не постраждали від інциденту.
Користувачі, які використовували одноразові дозволи через інфраструктуру 0x, залишилися незатронутими.
Цей інцидент знову підняв питання щодо постійних дозволів на токени у децентралізованих фінансах.
Необмежені дозволи забезпечують зручність, але підвищують ризики під час збоїв у смарт-контрактах.
Тим часом, дослідник блокчейну ZachXBT критикував затримку у відповіді Circle щодо заморожування залишків USDC. Близько $3 мільйонів, за повідомленнями, залишалися на адресах, які могли бути заморожені під час відповіді.
Злом додає до зростаючого списку провалів безпеки у DeFi на початку 2026 року. Дані галузі показують, що викрадені криптофонди досягли рекордних рівнів за останні роки, що посилює тиск на практики безпеки протоколів.
|
| ДИСКЛЕЙМЕР: Інформація на цьому сайті надається як загальний коментар до ринку і не є інвестиційною порадою. Ми рекомендуємо проводити власне дослідження перед інвестуванням. |
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Кілька банків Південної Кореї поглиблюють співпрацю з криптобіржами, банк KB Kookmin продовжує контракт після інциденту на одній з бірж.
Південнокорейські банки активно посилюють співпрацю з криптовалютними біржами, щоб впоратися з обмеженнями на зростання кредитування та шукати нові точки прибутку. Багато банків встановили партнерські відносини з біржами, незважаючи на те, що в минулому мали місце помилки з аеродропами біткоїнів. Регулятори планують розширити свої повноваження, що може загострити конкуренцію між банками.
GateNews23год тому
Міністерство громадської безпеки В’єтнаму затримало кількох керівників платформи ONUS за підозрою в маніпулюванні цінами токенів і привласненні коштів інвесторів
В'єтнамське міністерство внутрішніх справ затримало кількох осіб, пов'язаних з криптовалютною платформою ONUS, звинувативши їх у захопленні коштів інвесторів через фальшиву рекламу, що стосується десятків мільярдів доларів.
Слідчі стверджують, що підозрювані маніпулювали попитом і пропозицією токенів, вже було викликано 140 осіб.
Платформа ONUS стверджує, що має 7 мільйонів користувачів, ринкова капіталізація становить приблизно 25 мільйонів доларів, але поки не відповіла на ці звинувачення.
GateNews03-27 15:00
Сторінка на централізованій біржі, де користувачі повинні ввести відкриту мнемонічну фразу для виведення коштів
Gate News повідомляє, 3 березня засновник SlowMist Юй Сянь заявив, що певна централізована біржа (CEX) видалила сторінку, де користувачам просили вводити відкритий мнемонічний фраз. Він зазначив, що для гаманця онлайн-сторінки мають дуже низький рівень безпеки, значно нижчий за розширення та додатки; збір відкритих мнемонічних фраз через онлайн-сторінки легко імітується фішинговими сайтами, і це давно є поширеною тактикою фішингу.
GateNews03-26 14:47
Circle заморозила залишки USDC на 16 гарячих гаманців, включаючи біржі та інші бізнес-операції
Gate News повідомлення: 26 березня, згідно з розголошенням ZachXBT, Circle заморозила залишки USDC в 16 операційних гарячих гаманцях 25 березня. Відповідні компанії заявили, що цей крок пов'язаний з американською цивільною справою, деталі якої ще не розголошені. ZachXBT стверджує, що після перевірки даних блокчейну ці адреси пов'язані з біржами, азартними закладами та валютними операціями без явних зв'язків між ними, а блокування вже вплинуло на операційну діяльність відповідних бізнесів.
GateNews03-26 00:30
Фонд Resolv призупиняє отримання сезонного повітряного дропу 4 та функцію стейкінгу токенів RESOLV
Gate News повідомлює, що 25 березня Фонд Resolv оголосив про тимчасове припинення роботи протоколу та додатків у зв'язку з недавною інцидентом безпеки стейблкойна USR від Resolv Labs. Функція отримання вибухів Season 4 тимчасово недоступна, а також тимчасово відключені функції стейкінгу та анстейкінгу токена RESOLV. Після того як план відновлення протоколу буде остаточно затверджений і додаток зможе безпечно працювати знову, відповідні функції будуть відновлені.
GateNews03-25 14:03
RootData опублікував попередження про прозорість, 5 DEX, включаючи Hydration та Hyperbot, не мають ключової інформації
RootData опублікував на Twitter попередження про прозорість, вказуючи на відсутність інформації на кількох децентралізованих біржах і закликаючи проектні команди оновити свої дані для підвищення оцінки прозорості. Система оцінювання вимірює повноту інформації від A до F, де низька оцінка вказує на вищий ризик неправомірної поведінки, інвесторам потрібна обережність.
GateNews03-25 09:25
