Matcha Meta сообщает об эксплойте Base SwapNet, потеряно $16,8 млн

Децентрализованный агрегатор DEX Matcha Meta в воскресенье сообщил об инциденте безопасности, связанном с интеграцией SwapNet. PeckShield оценил ущерб примерно в $16,8 млн.

Данные ончейн, проанализированные PeckShield, свидетельствуют, что злоумышленник обменял около $10,5 млн в USDC на Base на примерно 3 655 ETH, после чего начал мостить средства в Ethereum.

Matcha Meta отметила, что риск был ограничен пользователями, которые отключили One-Time Approvals и вместо этого установили токэнные лимиты (allowances) напрямую на отдельных контрактах агрегатора. Пользователи, которые полагались на One-Time Approval, не пострадали.

После проверки вместе с командой протокола 0x Matcha Meta уточнила, что проблема не касалась контрактов AllowanceHolder или Settler от 0x. В посте в X проект написал: «Пользователи, которые отключили One-Time Approval и установили прямые allowances на отдельных контрактах агрегатора, берут на себя риски каждого агрегатора». В сообщении также добавили: «Мы убрали возможность для пользователей устанавливать allowances на агрегаторах напрямую, чтобы в дальнейшем это не могло произойти».

Еще одна компания по безопасности, CertiK, оценила потери примерно в $13,3 млн на Base и указала на уязвимость «arbitrary call» в контракте SwapNet, которая позволила переводы токенов, ранее одобренных для него.

Как мы сообщали ранее, криптоинвесторы и европейские предприятия покупали аппаратные кошельки и другие защитные устройства рекордными темпами в 2025 году после того, как ончейн- и биржевые взломы похитили около $2,2 млрд в первой половине года — больше, чем за весь 2024-й.