Matcha Meta повідомляє про експлойт Base SwapNet, втрачено $16,8 млн

Децентралізований агрегатор DEX Matcha Meta у неділю повідомив про інцидент безпеки, пов’язаний з інтеграцією SwapNet. PeckShield оцінив збитки приблизно у $16,8 млн.

Дані ончейн, проаналізовані PeckShield, свідчать, що зловмисник обміняв близько $10,5 млн в USDC на Base на приблизно 3 655 ETH, після чого почав мостити кошти до Ethereum.

Matcha Meta зазначила, що ризик був обмежений користувачами, які вимкнули One-Time Approvals і натомість встановили токенні ліміти (allowances) напряму на окремих контрактах агрегатора. Користувачі, які покладалися на One-Time Approval, не постраждали.

Після перевірки разом із командою протоколу 0x Matcha Meta уточнила, що проблема не стосувалася контрактів AllowanceHolder або Settler від 0x. В дописі в X проєкт написав: «Користувачі, які вимкнули One-Time Approval і встановили прямі allowances на окремих контрактах агрегатора, беруть на себе ризики кожного агрегатора». У дописі також додали: «Ми прибрали можливість для користувачів встановлювати allowances на агрегаторах напряму, щоб надалі це не могло статися».

Ще одна компанія з безпеки, CertiK, оцінила втрати приблизно у $13,3 млн на Base і вказала на вразливість «arbitrary call» у контракті SwapNet, яка дозволила перекази токенів, раніше схвалених для нього.

Як ми повідомляли раніше, криптоінвестори та європейські підприємства купували апаратні гаманці та інші захисні пристрої рекордними темпами у 2025 році після того, як ончейн- і біржові злами викрали близько $2,2 млрд у першій половині року — більше, ніж за весь 2024-й.