Взлом Matcha Meta через SwapNet привел к краже до $16,8 млн

В воскресенье агрегатор децентрализованных бирж Matcha Meta сообщил о взломе, который произошел через одного из ключевых поставщиков ликвидности — SwapNet. Атака связана с эксплуатацией уязвимостей смарт-контрактов.

Matcha Meta предупредил в публикации в X, что под риском могут быть пользователи, которые отключали разовые подтверждения токенов. Протокол призвал немедленно отозвать все разрешения, выданные роутер-контракту SwapNet, чтобы предотвратить дальнейшие потери.

Оценки ущерба различаются. Компания по безопасности блокчейна CertiK заявила, что было похищено около $13,3 млн, тогда как PeckShield оценила кражу как минимум в $16,8 млн в сети Base.

По данным PeckShield, злоумышленник вывел криптоактивы на сумму примерно $16,8 млн: в сети Base он обменял около 10,5 млн USDC на примерно 3 655 ETH и начал переводить средства в Ethereum, одновременно призвав пользователей отозвать все разрешения, связанные с протоколом.

В CertiK отметили, что причиной стала возможность выполнения произвольного вызова в контракте @0xswapnet, что позволило атакующему переводить средства, на которые этому контракту ранее были выданы approvals.

Matcha Meta подчеркнул, что проблема связана со SwapNet, а не с собственной инфраструктурой сервиса.

Смарт-контракты остаются главной целью криптохакеров

Уязвимости смарт-контрактов остаются одной из основных причин потерь в криптоиндустрии. Согласно годовому отчету SlowMist, на смарт-контракты пришлось 30,5% всех эксплойтов в 2025 году — 56 инцидентов.

На втором месте оказались компрометации аккаунтов и взломы учетных записей в X — 24%.

Исследователи также отмечают, что развитие искусственного интеллекта меняет подходы к поиску уязвимостей.

В декабре коммерчески доступные генеративные ИИ-агенты выявили эксплойты смарт-контрактов в действующих протоколах на сумму $4,6 млн, используя Anthropic Claude Opus 4.5, Claude Sonnet 4.5 и OpenAI GPT-5.