Кратко
- Уязвимость SwapNet привела к утечке 16,8 млн долларов после того, как пользователи отключили защиту однократных разрешений.
- Злоумышленник обменял 10,5 млн USDC на ETH на базе перед мостингом в Ethereum.
- Matcha Meta отключает пострадавшие контракты, поскольку службы безопасности отмечают более широкие риски в DeFi.
Уязвимость безопасности, связанная с SwapNet, привела к потерям около 16,8 миллиона долларов, что затронуло пользователей, взаимодействующих через Matcha Meta. Инцидент в основном коснулся пользователей, отключивших однократные разрешения, что подвергло риску постоянные разрешения токенов.
Компания по безопасности блокчейна PeckShieldAlert выявила уязвимость и проследила начальные перемещения средств. Злоумышленник нацелился на маршрутизаторы SwapNet, которые сохраняли неограниченные разрешения от кошельков пострадавших пользователей.
В сети Base злоумышленник обменял примерно 10,5 миллиона долларов USDC на около 3 655 ETH. Вскоре после этого злоумышленник начал мостить конвертированные активы в основную сеть Ethereum, чтобы усложнить отслеживание.
SwapNet функционирует как маршрутизатор ликвидности, используемый Matcha Meta для определения цен и глубокой ликвидности. Уязвимость заключалась в злоупотреблении существующими разрешениями, а не в взломе приватных ключей или основной инфраструктуры.
Matcha Meta, созданная командой 0x, подтвердила проблему и немедленно отключила пострадавшие контракты SwapNet. Платформа также убрала опцию предоставления прямых разрешений сторонним агрегаторам.
Расследование расширяется, поскольку службы безопасности отмечают более широкие риски
Дальнейший анализ показал, что уязвимость возникла из-за произвольного вызова внутри контрактов SwapNet. Этот недостаток позволял злоумышленникам переводить одобренные токены без запроса новых разрешений.
Компания по безопасности BlockSec сообщила, что несколько контрактов по цепочкам понесли убытки, превышающие 17 миллионов долларов. Пострадавшие сети включали Ethereum, Arbitrum, Base и BNB Chain, что расширяет масштаб инцидента.
Отдельно CertiK оценил, что украдено около 13,3 миллиона долларов USDC в результате связанной деятельности.
Некоторые задействованные контракты оставались закрытыми и неподтвержденными при развертывании.
Позже Matcha Meta подтвердил, что основные контракты 0x не пострадали от инцидента.
Пользователи, полагающиеся на однократные разрешения через инфраструктуру 0x, остались без ущерба.
Инцидент вновь поднял вопрос о постоянных разрешениях токенов в децентрализованных финансах.
Неограниченные разрешения обеспечивают удобство, но увеличивают риск при сбоях смарт-контрактов.
Между тем, исследователь ZachXBT раскритиковал задержку Circle в заморозке оставшихся USDC. Около 3 миллионов долларов, по сообщениям, оставались на адресах, пригодных для заморозки в течение времени реагирования.
Этот взлом добавляет к растущему списку сбоев в безопасности DeFi в начале 2026 года. Данные отрасли показывают, что украденные крипто-средства достигли рекордных уровней за последние годы, что увеличивает давление на практики безопасности протоколов.
|
| ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Информация на этом сайте предоставляется в качестве общего обзора рынка и не является инвестиционной рекомендацией. Мы рекомендуем провести собственное исследование перед инвестированием. |
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Loopscale: Около 170 000 долларов США депозитов в SOL Genesis Vault через косвенное воздействие находится в Drift, обещают полную компенсацию
Loopscale не имеет прямой связи с Drift; большинство средств безопасно, но часть существует в виде косвенного риска. Поступления в SOL Genesis Vault будут полностью компенсированы пользователям; функции внесения и снятия средств временно отключены, после восстановления они будут снова открыты.
GateNews1ч назад
Сетевой (on-chain) биржевой протокол Drift Protocol подвергся взлому и понес ущерб в размере 280 млн долларов, может ли экосистема Solana столкнуться с цепной реакцией?
Децентрализованная биржа Drift Protocol 2 апреля подверглась взлому, ущерб составил до 280 млн долларов, став одним из крупнейших DeFi-инцидентов по безопасности в экосистеме Solana. Злоумышленник воспользовался уязвимостью в мультиподписи, получив ключи администратора, после чего быстро перевёл активы. Drift приостановила вывод средств и пообещала продолжать обновлять расследование инцидента. Эксперты по кибербезопасности отмечают, что этот случай наглядно демонстрирует риски для DeFi-протоколов при управлении ключами с высокими привилегиями, и призывают усилить меры безопасности для защиты активов пользователей.
ChainNewsAbmedia1ч назад
Предупреждение о токене Drift (DRIFT), опубликованное некоторой CEX
Новости Gate News: 2 апреля некоторые CEX выпустили уведомление о предупреждении по токену Drift (DRIFT). Компании — члены Ассоциации совместного консорциума цифровых активов (DAXA) — в целях защиты пользователей могут принимать такие меры, как публикация предупреждений, указание предупреждаемых к торгам видов инструментов, а также прекращение поддержки торговли.
GateNews2ч назад
ZachXBT раскритиковал Circle за то, что он не предпринял никаких действий в связи с взломом на Drift; несколько миллионов USDC ушли через CCTP
ЗакxBT раскритиковал Circle за то, что она не предприняла действий в случае взлома Drift: несколько миллионов USDC были переведены с Solana на Ethereum. Circle заморозила часть горячих кошельков, однако прогресс восстанавливается медленно. Он утверждает, что Circle — неблагонадежный игрок отрасли.
GateNews2ч назад
HyperEVM столкнулся с серьезным простоем, а официальная страница статуса показывает нормальную работу, что вызывает сомнения
2 апреля компания PeckShield, занимающаяся ончейн-мониторингом, предупредила, что HyperEVM может столкнуться с серьезным простоем: блоки и транзакции остановятся, что повлияет на подтверждение транзакций пользователей и взаимодействие со смарт-контрактами. Официальная страница статуса при этом отображает «All Systems Operational», что отражает недостаточность мониторинга состояния уровня HyperEVM. Этот простой выявил проблемы с надежностью на раннем этапе запуска нового мейннета; конкретные причины будут объявлены официально.
MarketWhisper2ч назад
Какой-то корейской CEX перенёсла IPO на период после 2028 года, из-за внутренних подготовок и регуляторных факторов
Некоторое южнокорейское криптовалютное биржевое предприятие объявило о переносе IPO на 2028 год из-за необходимости совершенствования внутреннего контроля и учетной политики, и в настоящее время находится в стадии подготовки. Несмотря на прогнозируемую выручку в 2025 году в размере 43 миллиарда долларов, внутренние и регуляторные проблемы влияют на процесс IPO.
GateNews6ч назад
