Kurzfassung
- SwapNet-Exploit führt nach Deaktivierung des Einmal-Genehmigungs-Schutzes zu einem Verlust von 16,8 Mio. USD.
- Angreifer tauschte 10,5 Mio. USDC auf Base in ETH um, bevor er die Brücke zum Ethereum-Netzwerk nutzte.
- Matcha Meta deaktiviert betroffene Verträge, da Sicherheitsfirmen auf breitere DeFi-Risiken hinweisen.
Eine Sicherheitslücke im Zusammenhang mit SwapNet führte zu Verlusten von etwa 16,8 Millionen US-Dollar und betraf Nutzer, die die Einmal-Genehmigungen deaktiviert hatten. Das Ereignis betraf hauptsächlich Nutzer, die dauerhafte Token-Berechtigungen erteilt hatten.
Die Blockchain-Sicherheitsfirma PeckShieldAlert identifizierte den Exploit und verfolgte die ersten Bewegungen der Gelder. Der Angreifer zielte auf SwapNet-Routerverträge ab, die unbegrenzte Genehmigungen von betroffenen Nutzer-Wallets behielten.
Im Base-Netzwerk tauschte der Angreifer etwa 10,5 Mio. USDC gegen rund 3.655 ETH. Kurz darauf begann er, die umgewandelten Vermögenswerte auf die Ethereum-Blockchain zu übertragen, um die Nachverfolgung zu erschweren.
SwapNet fungiert als Liquiditätsrouter, der von Matcha Meta genutzt wird, um Preise und tiefe Liquidität zu beschaffen. Der Exploit bestand darin, bestehende Genehmigungen zu missbrauchen, anstatt private Schlüssel oder die Kerninfrastruktur zu kompromittieren.
Matcha Meta, entwickelt vom 0x-Team, bestätigte das Problem und deaktivierte umgehend die betroffenen SwapNet-Verträge. Die Plattform entfernte auch die Option, Nutzern direkte Genehmigungen an Drittanbieter-Aggregator zu erteilen.
Untersuchung erweitert sich, da Sicherheitsfirmen breitere Risiken erkennen
Weitere Analysen deuten darauf hin, dass der Exploit auf eine Schwachstelle bei beliebigen Funktionsaufrufen in SwapNet-Verträgen zurückzuführen ist. Diese Schwachstelle erlaubte es Angreifern, genehmigte Token zu übertragen, ohne neue Berechtigungen anzufordern.
Die Sicherheitsfirma BlockSec berichtete, dass mehrere Verträge über verschiedene Chains hinweg Verluste von über 17 Mio. USD erlitten haben. Betroffene Netzwerke waren Ethereum, Arbitrum, Base und BNB Chain, was den Umfang des Vorfalls vergrößerte.
Separat schätzte CertiK, dass gestohlene Gelder in Höhe von etwa 13,3 Mio. USDC aus verwandten Aktivitäten betroffen sind.
Einige der beteiligten Verträge waren bei Deployment noch geschlossen und unverifiziert.
Matcha Meta bestätigte später, dass die Kernverträge von 0x nicht vom Vorfall betroffen waren.
Nutzer, die auf Einmal-Genehmigungen über die 0x-Infrastruktur vertrauten, blieben unberührt.
Der Vorfall führte zu einer erneuten Diskussion über dauerhafte Token-Genehmigungen im dezentralen Finanzwesen.
Unbegrenzte Berechtigungen bieten Komfort, erhöhen aber das Risiko bei Smart-Contract-Fehlern.
Unterdessen kritisierte der On-Chain-Detektiv ZachXBT die verzögerte Reaktion von Circle, um die verbleibenden USDC einzufrieren. Rund 3 Mio. USD sollen sich noch bei Adressen befinden, die während des Reaktionsfensters eingefroren werden könnten.
Der Sicherheitsvorfall trägt zu einer wachsenden Liste von DeFi-Sicherheitsproblemen Anfang 2026 bei. Branchenbezogene Daten zeigen, dass die gestohlenen Krypto-Gelder in den letzten Jahren Rekordhöhen erreichten, was den Druck auf Sicherheitspraktiken der Protokolle erhöht.
|
| HAFTUNGSAUSSCHLUSS: Die Informationen auf dieser Website dienen nur der allgemeinen Marktkommentierung und stellen keine Anlageberatung dar. Wir empfehlen, eigene Recherchen durchzuführen, bevor Sie investieren. |
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
Elon Musks X wird einen Scam-„Kill-Switch“ einsetzen, indem es Nutzer, die Kryptowährungen zum ersten Mal erwähnen, automatisch sperrt
Die Social-Media-Plattform X sperrt Konten automatisch, wenn sie zum ersten Mal Kryptowährungen erwähnen, und verlangt zusätzliche Verifizierung, um Krypto-Phishing-Betrugsmaschen zu verhindern. Diese neue Maßnahme soll Anreize für Angriffe beseitigen, bei denen Konten übernommen werden, um betrügerische Tokens zu bewerben.
CoinDesk6Std her
four.meme Aufgrund eines technischen Defekts wird die Erstellung von Steuergebühren-Modus-Token vorübergehend ausgesetzt; betroffene Nutzer erhalten eine vollständige Rückerstattung.
Die vier.meme-Ankündigung: Aufgrund eines Defekts in der Projekt-Steuergebühren-Empfangsadresse, die mit 0x9f4 beginnt, sind die Verkaufs-Transaktionen fehlgeschlagen. Es wurde die entsprechende Funktion zur Erstellung von Token vorübergehend deaktiviert und den Nutzern empfohlen, mit dem Handel aufzuhören. Außerdem werden wir den betroffenen Nutzern, die bis zum 3. April um 22:50 Uhr gekauft haben, eine vollständige Rückerstattung gewähren.
GateNews7Std her
Private Videos hochladen, nackte Erpressung mit Kryptowährung? „Heldenkredit“ richtet sich an Menschen ohne Ausweg; bei Zahlungsverzug wird auf OnlyFans hochgeladen.
Ein Produkt, das Kryptowährungen, Inhalte für Erwachsene und ein Mechanismus für risikoreiche Kredite kombiniert, sorgt in letzter Zeit in der Krypto-Community und auf sozialen Plattformen für viel Gesprächsstoff. Das als „Hero Loan (Helden-Darlehen)“ bekannte Projekt wirbt mit dem Slogan „Kredit ohne Sicherheiten“, verlangt jedoch, dass Nutzer private Videos als Bedingung hochladen, und verknüpft das Ausfallrisiko mit einer Monetarisierungsmechanik über Plattformen für Inhalte für Erwachsene. Viele Nutzer beschreiben das Ganze als „Krypto-Version von Nacktkrediten“.
Das Projekt verwendet sogar „Wenn du denkst, dass das niemand nutzen würde, heißt das, dass du das Ende noch nicht erreicht hast“ als Werbespruch und zielt damit ganz klar auf Nutzergruppen ab, die ein hohes Risiko tragen und unter extremem Finanzdruck stehen. Allerdings haben einige Nutzer kurz nach der Veröffentlichung angegeben, sie hätten ein Video geschickt, aber kein Geld erhalten; ein KOL antwortete zudem, dass das Projekt angeblich abgehauen sei.
Aber mal ehrlich: Private Videos sind nur 60 Taler wert – das ist doch zu bitter.
„Helden-Darlehen“ richtet sich an Menschen, denen der Ausweg fehlt
Laut Informationen der offiziellen Website läuft das Produkt auf BNB Chain und setzt vor allem auf „Menschen, denen der Ausweg fehlt“.
ChainNewsAbmedia8Std her
Leap Wallet wird am 28. Mai den Betrieb einstellen, und Nutzer müssen die Migration so schnell wie möglich abschließen
Gate News-Mitteilung: Am 3. April kündigte die Krypto-Wallet-App Leap Wallet an, dass sie am 28. Mai den Betrieb einstellen wird, und Nutzer sollten ihre Vermögenswerte so schnell wie möglich migrieren. Der Stilllegungsumfang umfasst: Compass Wallet (Browser-Erweiterung sowie Versionen für iOS und Android), Leap WebApp, Swapfast, das Leap Cosmos Hub-Validierungsnode sowie Leap Cosmos
GateNews19Std her
DRIFT (Drift-Protokoll) ist in den letzten 24 Stunden um 24,16% gestiegen und liegt derzeit bei 0.0561 US-Dollar
Bis zum 3. April ist der Preis von DRIFT um 24,16 % gestiegen und liegt nun bei 0,0561 USD, die Marktkapitalisierung beträgt etwa 32,62 Mio. USD. Drift Protocol ist als dezentraler Börsenplatz (DEX) in Bezug auf Sicherheit und Liquidität besonders stark, aber aufgrund aktueller Sicherheitsvorfälle und risikobezogener Kontrollmaßnahmen südkoreanischer Börsen wird der Handel eingeschränkt, was die Marktvolatilität erhöht.
GateNews20Std her
Elon Musks X wird einen Betrugs-Kill-Switch bereitstellen, indem es Erst-Erwähner von Kryptowährungen automatisch sperrt
Die Social-Media-Plattform X wird Konten, die zum ersten Mal Kryptowährungen erwähnen, automatisch sperren und eine zusätzliche Verifizierung verlangen, um Krypto-Phishing-Betrugsmaschen abzuschrecken. Diese neue Maßnahme soll Anreize für Angriffe beseitigen, bei denen Konten übernommen werden, um betrügerische Tokens zu bewerben.
CoinDesk04-02 15:41
