Децентралізований агрегатор ончейн-бірж (DEX), SwapNet, став об’єктом значного експлойту смартконтракту, який спричинив втрату майже $16,8 млн у криптоактивах.
Ситуація ще раз засвідчує системні ризики, пов’язані з дозволами на токени та використанням сторонніх маршрутних контрактів у DeFi (децентралізовані фінанси).
SponsoredОнчейн DEX-агрегатор SwapNet зазнав експлойту на $16,8 млн
За повідомленням PeckShield, зловмисник використав операції, прив’язані до SwapNet, через Matcha Meta — метаагрегатор DEX, створений командою 0x.
У мережі Base атакуючий обміняв близько $10,5 млн у USDC на приблизно 3 655 ETH, після чого перевів кошти в мережу Ethereum. Подібна схема переведення часто використовується для ускладнення моніторингу переміщень і блокування активів.
У Matcha Meta зазначили, що уразливість не пов’язана з основною інфраструктурою сервісу. Під ризик потрапили лише ті користувачі, які самостійно відмовились від системи One-Time Approval — захисної функції для обмеження тривалих дозволів на використання токенів.
Відключення цієї функції призвело до того, що користувачі відкривали прямі дозволи на контракти агрегатора, зокрема на маршрутизатор SwapNet. Саме це стало точкою входу для атаки.
«Ми поінформовані про інцидент із SwapNet, якому могли піддатися користувачі Matcha Meta, якщо вони вимкнули One-Time Approvals», — сказано у заяві Matcha Meta.
Платформа підтвердила, що взаємодіє з командою SwapNet; на час розслідування роботу уражених контрактів призупинено.
Sponsored SponsoredДля безпеки рекомендовано негайно відкликати дозволи до всіх агрегаторів, крім One-Time Approval від 0x, аби мінімізувати подальші ризики несанкціонованого доступу.
Особливу увагу звертають на маршрутизатор SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) — саме цей дозвіл необхідно відкликати першочергово. Інакше навіть після нейтралізації експлойту гаманці залишаються під загрозою.
DeFi: компроміс між зручністю та безпекою через зростання експлойтів смартконтрактів
Даний випадок ілюструє хронічну дилему DeFi — вибір між оперативністю операцій та захистом активів. Використання One-Time Approval потребує схвалення кожної транзакції окремо, що підвищує безпеку, але збільшує операційну складність для активних користувачів.
SponsoredНатомість необмежені дозволи забезпечують безперервний доступ смартконтрактів до активів, підвищуючи ефективність, але створюючи критичну вразливість у разі компрометації контракту.
SwapNet ще не оприлюднив детальний технічний аналіз події і не повідомив про можливі компенсації постраждалим. Питання відповідальності і механізмів відновлення залишаються відкритими та дискусійними.
Відсутність негайної прозорості може підсилити увагу до практик управління дозволами та інтеграції агрегаторів у всьому DeFi-секторі.
Ethereum: новий експлойт підкреслює ризики неверифікованих закритих смартконтрактів
Цей експлойт вписується у загальну тенденцію атак на смартконтракти та інцидентів безпеки у криптовалютному секторі.
Sponsored SponsoredТого ж дня аудитор Pashov звернув увагу на окремий експлойт у мережі Ethereum із залученням близько 37 WBTC, що еквівалентно $3,1 млн.
Інцидент стосувався закритого, неперевіреного контракту, створеного лише 41 день тому. Контракт містив байткод у нечитаємому для людини вигляді, що унеможливило перевірку сторонніми фахівцями.
Подібні епізоди ілюструють вразливі сфери DeFi, до яких належать:
- неперевірений програмний код
- постійні дозволи
- та багатошаровість маршрутизації транзакцій.
Попри тривалу практику аудитів і впровадження інструментів захисту, DeFi залишається уразливим до системних проблем безпеки. Це покладає вагомий тягар як на розробників сегмента, так і на користувачів, які змушені постійно балансувати між функціональністю сервісів і контролем ризику.
