Utilizadores do Matcha Meta são atingidos após o hack do swapnet explorar aprovações permanentes de tokens para roubar $16,8 milhões

Os utilizadores que interagiram através do Matcha Meta foram atingidos pelo hack do swapnet, que abusou de permissões de tokens arriscadas para roubar fundos de carteiras expostas.\n\nAtaque drena $16,8 milhões através de permissões expostas\n\nA empresa de segurança blockchain PeckShieldAlert foi a primeira a alertar para um incidente de segurança importante envolvendo o SwapNet que afetou os utilizadores do Matcha Meta. Os atacantes abusaram das permissões existentes dos tokens e, por fim, drenaram $16,8 milhões em criptomoedas de carteiras afetadas. No entanto, a questão central derivou de como as permissões estavam configuradas, não de uma exploração direta no código do Matcha Meta.\n\nDe acordo com a PeckShieldAlert, a violação visou utilizadores que alteraram as configurações de segurança padrão do Matcha Meta. Em vez de depender de permissões temporárias mais seguras, esses utilizadores concederam acessos mais amplos e persistentes aos contratos do protocolo, deixando os ativos vulneráveis assim que um atacante descobriu a exposição.\n\nComo foi executado o exploit do SwapNet\n\nO Matcha Meta oferece um sistema de Aprovação Única que limita o acesso aos tokens a uma única transação. Este design ajuda a conter o risco ao garantir que, após a execução, os contratos inteligentes já não tenham autoridade contínua sobre os tokens do utilizador. Além disso, obriga a uma nova aprovação antes de qualquer novo gasto.\n\nNo entanto, alguns utilizadores desativaram a proteção de aprovação única e, em vez disso, concederam permissões diretas e de longo prazo a contratos agregadores individuais. Essas permissões persistentes estavam ligadas ao SwapNet, dando efetivamente aos seus contratos acesso contínuo aos fundos dos utilizadores através de múltiplas transações sem confirmações adicionais.\n\nOs atacantes então direcionaram essas permissões permanentes de tokens. Uma vez que uma carteira aprovou os contratos relacionados com o SwapNet, o hacker podia mover os tokens à vontade, sem precisar de novas assinaturas da vítima. Isso permitiu que saldos inteiros fossem drenados silenciosamente, pois não eram necessárias novas confirmações na cadeia.\n\nEm termos práticos, o hack do swapnet transformou essas permissões amplas numa vetor de ataque direto. Permissões que eram destinadas a facilitar o trading tornaram-se uma ferramenta para transferências não autorizadas de fundos após os contratos serem comprometidos ou mal utilizados.\n\nTraços na cadeia na Base e Ethereum\n\nDados na cadeia revelam que o atacante concentrou-se fortemente na rede Base. Aproximadamente $10,5 milhões em USDC foram trocados por cerca de 3.655 ETH, de acordo com análises iniciais. Além disso, o timing e o padrão das trocas sugerem uma tentativa coordenada de converter rapidamente e redistribuir as stablecoins roubadas.\n\nLogo após as trocas iniciais, o atacante começou a fazer ponte entre a rede Base e a Ethereum, movendo fundos de Base para Ethereum. Fazer ponte é uma técnica comum usada por ladrões na cadeia para dificultar o rastreamento e misturar históricos de transações entre várias cadeias, tornando mais difícil para as autoridades e análises.\n\nRegistos adicionais de transações mostram transferências grandes de USDC superiores a $13 milhões e interações diretas com pools de liquidez do Uniswap V3. Além disso, o relatório de violação da PeckShieldAlert estima que o impacto total atingiu aproximadamente $16,8 milhões em ativos roubados após agregar atividades entre os endereços envolvidos.\n\nReação do Matcha Meta e do SwapNet\n\nO Matcha Meta reconheceu publicamente o incidente e afirmou que está a colaborar estreitamente com a equipa do SwapNet. Como medida de contenção imediata, o SwapNet desativou temporariamente os seus contratos para impedir mais explorações e reduzir o risco de mais carteiras serem drenadas.\n\nAlém disso, o Matcha Meta removeu a opção para os utilizadores definirem permissões diretas aos agregadores, o que tinha criado a brecha para o ataque. A mudança visa garantir que as futuras atividades de trading dependam de padrões de aprovação mais restritivos, reduzindo o raio de impacto se um incidente semelhante ocorrer novamente.\n\nA plataforma também instou os utilizadores a revogar as permissões de tokens que estejam fora dos próprios contratos de Aprovação Única do 0x. Em particular, o Matcha Meta destacou permissões ligadas ao contrato do roteador do SwapNet, que agora foram identificadas como um fator de risco chave na violação.\n\nInvestigação contínua e proteção dos utilizadores\n\nAs investigações às carteiras violadas e aos contratos associados continuam em curso. Tanto o Matcha Meta quanto o SwapNet comprometeram-se a fornecer atualizações contínuas enquanto monitorizam o movimento dos fundos roubados e colaboram com investigadores de segurança. No entanto, recuperar ativos em incidentes na cadeia como este costuma ser difícil uma vez que os fundos são lavados através de múltiplos protocolos.\n\nPor agora, as equipas concentram-se em limitar uma maior exposição e orientar os utilizadores sobre práticas seguras. Este episódio reforça como as permissões de tokens podem tornar-se uma responsabilidade poderosa quando mal utilizadas ou deixadas sem controlo, especialmente quando surge um cenário de router do swapnet comprometido.\n\nEm resumo, a violação demonstra que as escolhas de configuração em torno das permissões são tão críticas quanto o código do contrato inteligente. Utilizadores que dependem de permissões restritivas de uma só vez e auditam rotineiramente as suas permissões estão melhor posicionados para resistir a explorações semelhantes dirigidas a agregadores DeFi.