Пользователи Matcha Meta пострадали в результате взлома swapnet, который использовал эксплуатировал постоянные разрешения на токены для кражи 16,8 миллиона долларов

Пользователи, взаимодействующие через Matcha Meta, пострадали от взлома SwapNet, который злоупотреблял рискованными разрешениями токенов для кражи средств с уязвимых кошельков.\n\nАтака выводит 16,8 миллиона долларов через уязвимые разрешения\n\nКомпания по безопасности блокчейна PeckShieldAlert впервые зафиксировала крупный инцидент безопасности, связанный с SwapNet, который затронул пользователей Matcha Meta. Злоумышленники злоупотребили существующими разрешениями токенов и в итоге вывели 16,8 миллиона долларов в криптовалюте с пострадавших кошельков. Однако основная проблема заключалась в том, как были настроены разрешения, а не в прямой уязвимости кода Matcha Meta.\n\nПо данным PeckShieldAlert, взлом был нацелен на пользователей, которые изменили свои стандартные настройки безопасности Matcha Meta. Вместо использования более безопасных временных разрешений эти пользователи предоставили более широкие и постоянные доступы к контрактам протокола, оставляя активы уязвимыми после того, как злоумышленник обнаружил уязвимость.\n\nКак был выполнен эксплойт SwapNet\n\nMatcha Meta предлагает систему однократных разрешений, которая ограничивает доступ к токенам одним транзакцией. Эта схема помогает снизить риск, гарантируя, что после выполнения смарт-контракты больше не имеют постоянных полномочий над токенами пользователя. Кроме того, она требует нового разрешения перед любыми новыми расходами.\n\nОднако некоторые пользователи отключили защиту однократных разрешений и вместо этого предоставили прямые, долгосрочные разрешения отдельным контрактам-агрегаторам. Эти постоянные разрешения были связаны с SwapNet, что фактически давало его контрактам постоянный доступ к средствам пользователя через несколько транзакций без дополнительных подтверждений.\n\nЗлоумышленники затем нацелились на эти постоянные разрешения токенов. Как только кошелек одобрил контракты, связанные с SwapNet, хакер мог перемещать токены по своему усмотрению, не требуя новых подписей от жертвы. Это позволяло тихо выводить все балансы, поскольку не требовались новые подтверждения на блокчейне.\n\nНа практике взлом SwapNet превратил эти широкие разрешения в прямой вектор атаки. Разрешения, предназначенные для удобной торговли, стали инструментом для несанкционированных переводов средств после того, как контракты были скомпрометированы или неправильно использованы.\n\nСледы на блокчейне в сети Base и Ethereum\n\nДанные на блокчейне показывают, что злоумышленник сосредоточился в основном на сети Base. По предварительным анализам, примерно 10,5 миллиона долларов в USDC были обменяны на около 3 655 ETH. Более того, временные рамки и схема обменов указывают на скоординированную попытку быстро конвертировать и перераспределить украденные стейбкоины.\n\nВскоре после начальных обменов злоумышленник начал мостить средства с Base на Ethereum. Мостинг — это распространенная техника, используемая кражами на блокчейне для усложнения отслеживания и смешивания транзакционной истории между несколькими цепочками, что затрудняет работу правоохранительных органов и аналитиков.\n\nДополнительные записи транзакций показывают крупные переводы USDC на сумму свыше 13 миллионов долларов и прямое взаимодействие с пулами ликвидности Uniswap V3. Кроме того, отчет о взломе PeckShieldAlert оценивает, что совокупный ущерб достиг примерно 16,8 миллиона долларов украденных активов после объединения активности по связанным адресам.\n\nРеакция Matcha Meta и SwapNet\n\nMatcha Meta публично признала инцидент и заявила, что тесно сотрудничает с командой SwapNet. В качестве меры немедленного реагирования SwapNet временно отключила свои контракты, чтобы остановить дальнейшую эксплуатацию и снизить риск вывода средств с других кошельков.\n\nКроме того, Matcha Meta убрала возможность для пользователей устанавливать прямые разрешения для агрегаторов, что создавало уязвимость для атаки. Изменение направлено на то, чтобы будущая торговая активность основывалась на более ограничительных схемах разрешений, что снизит масштаб возможных последствий при повторных инцидентах.\n\nПлатформа также призвала пользователей отозвать разрешения токенов, выходящие за рамки собственных контрактов однократных разрешений 0x. В частности, Matcha Meta выделила разрешения, связанные с роутером SwapNet, которые теперь считаются ключевым фактором риска в этом взломе.\n\nРасследование и защита пользователей\n\nРасследование взломанных кошельков и связанных контрактов продолжается. И Matcha Meta, и SwapNet обещают предоставлять постоянные обновления по мере отслеживания перемещения украденных средств и взаимодействия с исследователями безопасности. Однако восстановление активов в подобных случаях часто оказывается сложным, особенно если средства были отмыты через несколько протоколов.\n\nНа данный момент команды сосредоточены на ограничении дальнейшей уязвимости и информировании пользователей о безопасных практиках. Однако этот инцидент подчеркивает, насколько мощными могут стать разрешения токенов, если ими неправильно пользоваться или оставить без контроля, особенно при появлении сценария компрометации роутера SwapNet.\n\nВ целом, инцидент показывает, что выбор конфигурации разрешений так же важен, как и код смарт-контрактов. Пользователи, использующие ограничительные однократные разрешения и регулярно проверяющие свои разрешения, лучше подготовлены к подобным атакам на DeFi-агрегаторы.