Resumido
- Exploração do SwapNet drena 16,8 milhões de dólares após os utilizadores desativarem as proteções de aprovação única.
- O atacante trocou 10,5 milhões de USDC por ETH na Base antes de fazer a ponte para a Ethereum.
- Matcha Meta desativa contratos afetados enquanto empresas de segurança alertam para riscos mais amplos no DeFi.
Uma violação de segurança relacionada com o SwapNet levou a perdas de cerca de 16,8 milhões de dólares, afetando utilizadores que interagiram através do Matcha Meta. O incidente afetou principalmente utilizadores que desativaram aprovações únicas, expondo permissões persistentes de tokens.
A empresa de segurança blockchain PeckShieldAlert identificou a exploração e rastreou os movimentos iniciais dos fundos. O atacante visou contratos do roteador SwapNet que mantinham aprovações ilimitadas de carteiras de utilizadores afetados.
Na rede Base, o atacante trocou aproximadamente 10,5 milhões de dólares em USDC por cerca de 3.655 ETH. Logo a seguir, começou a fazer a ponte dos ativos convertidos para a rede principal Ethereum para dificultar o rastreamento.
O SwapNet funciona como um roteador de liquidez utilizado pelo Matcha Meta para obter preços e liquidez profunda. A exploração envolveu abusar das aprovações existentes, em vez de violar chaves privadas ou infraestrutura central.
O Matcha Meta, criado pela equipa 0x, confirmou o problema e desativou imediatamente os contratos SwapNet afetados. A plataforma também removeu a opção que permitia aos utilizadores conceder aprovações diretas a agregadores de terceiros.
A investigação expande-se à medida que empresas de segurança alertam para riscos mais amplos
Análises adicionais sugeriram que a exploração resultou de uma vulnerabilidade de chamada arbitrária nos contratos SwapNet. Esta falha permitiu aos atacantes transferir tokens aprovados sem solicitar novas permissões.
A empresa de segurança BlockSec relatou que múltiplos contratos em várias cadeias sofreram perdas superiores a 17 milhões de dólares. As redes afetadas incluíram Ethereum, Arbitrum, Base e BNB Chain, aumentando o alcance do incidente.
Separadamente, a CertiK estimou que os fundos roubados atingiram cerca de 13,3 milhões de dólares em USDC provenientes de atividades relacionadas.
Alguns contratos envolvidos permaneceram de código fechado e não verificados na implantação.
O Matcha Meta confirmou posteriormente que os contratos principais 0x não foram afetados pelo incidente.
Utilizadores que dependiam de aprovações únicas através da infraestrutura 0x permaneceram intactos.
O incidente renovou o escrutínio em torno de aprovações persistentes de tokens no setor DeFi.
Permissões ilimitadas oferecem conveniência, mas aumentam a exposição durante falhas de contratos inteligentes.
Entretanto, o investigador on-chain ZachXBT criticou a resposta tardia da Circle para congelar o restante do USDC. Aproximadamente 3 milhões de dólares permaneciam em endereços elegíveis para congelamento durante a janela de resposta.
A violação acrescenta-se a uma lista crescente de falhas de segurança no DeFi no início de 2026. Dados do setor mostram que os fundos de criptomoedas roubados atingiram níveis recorde nos últimos anos, aumentando a pressão sobre as práticas de segurança dos protocolos.
|
| AVISO: As informações neste site são fornecidas como comentário geral de mercado e não constituem aconselhamento de investimento. Incentivamos a fazer a sua própria pesquisa antes de investir. |
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
Os utilizadores chineses protestam contra a suspensão de contas de pagamento Huik Wan/Cambodja, o que desencadeou confrontos violentos com derramamento de sangue
Dezenas de cidadãos chineses protestaram do lado de fora do Banco Nacional do Camboja, em Phnom Penh, exigindo que os fundos das contas do HuizhiPay fossem desbloqueados; a manifestação evoluiu para confrontos físicos, causando feridos. O HuizhiPay foi suspenso e sofreu um congelamento substancial de contas por estar relacionado com branqueamento de capitais associado a burlas transnacionais, após ter sido retirada a licença pela autoridade monetária do Camboja. A China acusa o ex-presidente do conselho de administração, Li Xiong, como núcleo da rede de burlas, relacionada com o Grupo Príncipe; as acções de repressão relacionadas também revelaram o risco de fundos enfrentado por utilizadores legítimos e procedimentos legais de longa duração.
ChainNewsAbmedia8h atrás
A FTC impõe um acordo de $10 milhões ao fundador da Celsius Alex Mashinsky, com proibição vitalícia de cripto
De acordo com um processo da FTC na terça-feira (28 de abril), a Comissão Federal do Comércio obteve uma sentença no valor de 4,7 mil milhões de dólares contra o antigo CEO da Celsius, Alex Mashinsky, estando a maior parte do montante suspensa. Exige-se que Mashinsky pague $10 milhões, a menos que tenha falhado em divulgar ativos materiais ou tenha feito declarações erradas
GateNews11h atrás
Dados do Cliente da Zondacrypto Oferecidos para Venda na Darknet por 550 Euros e 0.6 BTC
De acordo com o Bitcoin.pl, os dados do cliente da falida bolsa polaca Zondacrypto foram oferecidos à venda na darknet, com dois pacotes disponíveis. O pacote mais pequeno, que contém endereços de e-mail e dados básicos de identificação, tem um preço de aproximadamente 550 euros, enquanto o conjunto maior—incluindo
GateNews17h atrás
O fundador da Celsius, Mashinsky, celebra acordo com a FTC, paga $10M e enfrenta uma proibição permanente de produtos de ativos
De acordo com a ChainCatcher, o fundador da Celsius, Alex Mashinsky, concordou em celebrar um acordo com a Comissão Federal de Comércio dos EUA (FTC) em 29 de abril, pagando $10 milhões e enfrentando uma proibição permanente de promover, comercializar ou distribuir quaisquer produtos ou serviços relacionados com depósitos de ativos, câmbios, investimentos ou levantamentos, ou w
GateNews19h atrás
A ponte Commons da Syndicate explorada por 330K; SYND desce 36% na quarta-feira
De acordo com a CertiK, a ponte Commons da Syndicate — a ponte oficial de bridge cross-chain da plataforma de infraestruturas da Ethereum — sofreu um exploit na quarta-feira (29 de abril), resultando em pelo menos 330.000 USD em perdas. O atacante adquiriu aproximadamente 18,5 milhões de tokens SYND e vendeu-os por cerca de 330.000 USD, whi
GateNews22h atrás
Forbes acusa o American Bitcoin de Eric Trump de ser uma ferramenta de arbitragem que explora o sentimento dos investidores MAGA
Mensagem do Gate News, 29 de Abril — A Forbes publicou um relatório crítico sobre o American Bitcoin, a empresa liderada por Eric Trump, alegando que funciona como uma ferramenta de arbitragem que explora o sentimento dos investidores MAGA em vez de uma legítima "máquina de impressão de dinheiro", como é promovido. Segundo a Forbes, a empresa utiliza
GateNews04-29 01:46
