Користувачі Matcha Meta постраждали через злом Swapnet, який експлуатував постійні дозволи на токени для крадіжки 16,8 мільйонів доларів

Користувачі, які взаємодіють через Matcha Meta, стали жертвами хакерської атаки SwapNet, яка зловживала ризикованими дозволами на токени для крадіжки коштів із вразливих гаманців.\n\nАтака зняла 16,8 мільйонів доларів через вразливі дозволи\n\nКомпанія з безпеки блокчейну PeckShieldAlert вперше повідомила про серйозний інцидент безпеки, пов’язаний із SwapNet, що вплинув на користувачів Matcha Meta. Зловмисники зловживали існуючими дозволами на токени і в кінцевому підсумку вкрали 16,8 мільйонів доларів у криптовалюті з уражених гаманців. Однак основна проблема полягала у налаштуваннях дозволів, а не у прямому експлойті коду Matcha Meta.\n\nЗа даними PeckShieldAlert, злом був спрямований на користувачів, які змінили свої стандартні налаштування безпеки Matcha Meta. Замість того, щоб покладатися на більш безпечні, тимчасові дозволи, ці користувачі надали ширший і більш постійний доступ до протоколів-контрактів, залишаючи активи вразливими, як тільки зловмисник виявив цю вразливість.\n\nЯк було здійснено експлойт SwapNet\n\nMatcha Meta пропонує систему одноразових дозволів, яка обмежує доступ до токенів одним транзакцією. Такий дизайн допомагає зменшити ризик, забезпечуючи, що після виконання смарт-контракти більше не мають постійних повноважень над токенами користувача. Крім того, він вимагає нове підтвердження перед будь-якими новими витратами.\n\nОднак деякі користувачі вимкнули захист одноразового дозволу і натомість надали прямі, довгострокові дозволи окремим агрегаторським контрактам. Ці постійні дозволи були пов’язані з SwapNet, фактично надаючи його контрактам безперервний доступ до коштів користувачів у кількох транзакціях без додаткових підтверджень.\n\nЗловмисники потім цілеспрямовано атакували ці постійні дозволи на токени. Як тільки гаманець схвалював контракти, пов’язані з SwapNet, хакер міг переміщувати токени на свій розсуд, без необхідності отримувати нові підписи від жертви. Це дозволяло тихо знімати всі баланси, оскільки не потрібно було нових підтверджень на ланцюгу.\n\nПрактично, хак SwapNet перетворив ці широкі дозволи на безпосередній вектор атаки. Дозволи, призначені для зручної торгівлі, стали інструментом для несанкціонованих переказів коштів після компрометації або неправильного використання контрактів.\n\nТраси на ланцюгу в Base та Ethereum\n\nДані на ланцюгу показують, що зловмисник зосередився переважно на мережі Base. За ранніми аналізами, близько 10,5 мільйонів доларів USDC було обміняно на приблизно 3 655 ETH. Крім того, час і схема обмінів свідчать про скоординовану спробу швидко конвертувати та перерозподілити вкрадені стейблкоіни.\n\nНезабаром після початкових обмінів зловмисник почав переміщати кошти з Base до Ethereum через мостинг. Мостинг — це поширена техніка, яку використовують крадії в блокчейні для ускладнення відслідковування та змішування історії транзакцій між кількома ланцюгами, що ускладнює роботу правоохоронних органів і аналітиків.\n\nДодаткові записи транзакцій показують великі перекази USDC понад 13 мільйонів доларів і прямі взаємодії з пулом ліквідності Uniswap V3. Крім того, звіт про злом PeckShieldAlert оцінює, що сумарний вплив склав приблизно 16,8 мільйонів доларів у вкрадених активів після агрегації активності з усіх залучених адрес.\n\nРеакція Matcha Meta та SwapNet\n\nMatcha Meta публічно визнала інцидент і заявила, що тісно співпрацює з командою SwapNet. Як тимчасовий захід, SwapNet тимчасово деактивував свої контракти, щоб зупинити подальше використання та зменшити ризик зливу коштів з інших гаманців.\n\nКрім того, Matcha Meta видалив опцію для користувачів встановлювати прямі дозволи агрегатора, що створювало можливість для атаки. Це зміна має на меті забезпечити, щоб майбутня торгівля базувалася на більш обмежувальних моделях дозволів, зменшуючи потенційний масштаб наслідків у разі повторної події.\n\nПлатформа також закликала користувачів відкликати дозволи на токени, що виходять за межі власних контрактів One-Time Approval від 0x. Зокрема, Matcha Meta підкреслила дозволи, пов’язані з маршрутизатором SwapNet, які тепер визнані ключовим ризиком у цьому зломі.\n\nПоточне розслідування та захист користувачів\n\nРозслідування зломаних гаманців і пов’язаних контрактів триває. І Matcha Meta, і SwapNet пообіцяли надавати постійні оновлення, відстежуючи рух вкрадених коштів і співпрацюючи з дослідниками безпеки. Однак відновлення активів у таких інцидентах на ланцюгу часто ускладнене, оскільки кошти можуть бути відмивані через кілька протоколів.\n\nНа даний момент команди зосереджені на обмеженні подальшої експозиції та інструктажі користувачів щодо безпечних практик. Однак цей випадок підкреслює, наскільки потужними можуть стати дозволи на токени, якщо їх неправильно використовувати або залишати без контролю, особливо коли сценарій компрометації маршрутизатора SwapNet стає реальністю.\n\nПідсумовуючи, цей інцидент показує, що налаштування дозволів так само важливі, як і код смарт-контрактів. Користувачі, які дотримуються обмежувальних, одноразових дозволів і регулярно перевіряють свої дозволи, краще підготовлені до подібних атак на DeFi-агрегатори.