Коротко
- Вразливість SwapNet спричинила витік $16,8M після того, як користувачі вимкнули захист одноразових дозволів.
- Зловмисник обміняв $10,5M USDC на ETH на Base перед мостом до Ethereum.
- Matcha Meta вимкнула уразливі контракти, оскільки компанії з безпеки вказують на ширші ризики у DeFi.
Злом, пов’язаний із SwapNet, призвів до втрат близько $16,8 мільйонів, що вплинуло на користувачів, які взаємодіяли через Matcha Meta. Інцидент здебільшого торкнувся користувачів, які вимкнули одноразові дозволи, тим самим піддавши ризику постійні дозволи на токени.
Команда з безпеки блокчейну PeckShieldAlert виявила вразливість і простежила початкові рухи коштів. Зловмисник цілеспрямовано атакував контракти маршрутизатора SwapNet, які зберігали необмежені дозволи від постраждалих гаманців користувачів.
У мережі Base зловмисник обміняв приблизно $10,5 мільйонів USDC на близько 3 655 ETH. Незабаром після цього він почав мостити конвертовані активи до основної мережі Ethereum, щоб ускладнити відстеження.
SwapNet працює як маршрутизатор ліквідності, який використовується Matcha Meta для пошуку цін і глибокої ліквідності. Вразливість полягала у зловживанні існуючих дозволів, а не у зломі приватних ключів або основної інфраструктури.
Matcha Meta, створена командою 0x, підтвердила проблему і одразу вимкнула уразливі контракти SwapNet. Платформа також видалила опцію, яка дозволяла користувачам надавати прямі дозволи третім сторонам-агрегаторам.
Розслідування розширюється, оскільки компанії з безпеки вказують на ширші ризики
Додатковий аналіз показав, що вразливість виникла через довільний виклик у контрактах SwapNet. Ця помилка дозволяла зловмисникам переводити затверджені токени без запиту нових дозволів.
Компанія з безпеки BlockSec повідомила, що кілька контрактів на різних ланцюгах зазнали втрат понад $17 мільйонів. Постраждали мережі Ethereum, Arbitrum, Base і BNB Chain, що розширює масштаб інциденту.
Окремо CertiK оцінив, що викрадено близько $13,3 мільйонів USDC у зв’язку з цією діяльністю.
Деякі контракти залишилися закритими і неперевіреними під час розгортання.
Matcha Meta пізніше підтвердила, що основні контракти 0x не постраждали від інциденту.
Користувачі, які використовували одноразові дозволи через інфраструктуру 0x, залишилися незатронутими.
Цей інцидент знову підняв питання щодо постійних дозволів на токени у децентралізованих фінансах.
Необмежені дозволи забезпечують зручність, але підвищують ризики під час збоїв у смарт-контрактах.
Тим часом, дослідник блокчейну ZachXBT критикував затримку у відповіді Circle щодо заморожування залишків USDC. Близько $3 мільйонів, за повідомленнями, залишалися на адресах, які могли бути заморожені під час відповіді.
Злом додає до зростаючого списку провалів безпеки у DeFi на початку 2026 року. Дані галузі показують, що викрадені криптофонди досягли рекордних рівнів за останні роки, що посилює тиск на практики безпеки протоколів.
|
| ДИСКЛЕЙМЕР: Інформація на цьому сайті надається як загальний коментар до ринку і не є інвестиційною порадою. Ми рекомендуємо проводити власне дослідження перед інвестуванням. |
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Платформа прогнозного ринку закрила/зняла з публікації прогнозний ринок «зниклий льотчик ВПС США», заявивши, що це порушує стандарти цілісності
Прогнозна платформа для ринку зазнала критики через те, що її зняли з розміщенням ринку про долю зниклого американського пілота за порушення «стандартів цілісності», що викликало суперечки. Американські члени Палати представників засудили такі ставки як «огидні» та поставили під сумнів прозорість правил. Водночас зростають побоювання щодо інсайдерської торгівлі, а регулятори закликають посилити обмежувальні заходи.
GateNews04-04 09:55
X Елона Маска для розгортання «kill switch» проти шахрайства шляхом автоматичного блокування тих, хто вперше згадує криптовалюту
Соціальна платформа X автоматично блокуватиме облікові записи, які вперше згадують криптовалюту, вимагаючи додаткової перевірки, щоб стримувати криптовалютні фішингові афери. Цей новий захід має на меті усунути стимули для атак, які викрадають облікові записи, щоб просувати шахрайські токени.
CoinDesk04-03 15:48
four.meme через технічний дефект тимчасово призупиняє створення токенів у режимі оплати податків і здійснить повне відшкодування коштів усім користувачам, яких це стосується
Оголошення чотирьох.meme: через ваду в адресі одержувача податкових зборів проєкту, яка починається на 0x9f4, продажні транзакції зазнають невдачі. Функцію створення відповідних токенів призупинено, а користувачам рекомендовано припинити торгівлю. Також буде надано повне відшкодування постраждалим користувачам, які придбали до 3 квітня о 22:50.
GateNews04-03 15:04
Завантажити приватне відео, голе вимагають криптовалюту в позику? «Герой-позика» націлюється на людей, які опинилися в безвиході: якщо станеться дефолт — публікують OnlyFans
Продукт, який поєднує криптовалюту, контент для дорослих і механізм високоризикового кредитування, нещодавно викликав жваве обговорення в криптосередовищі та на платформах спільнот. Проєкт під назвою «Hero Loan(Hero Loan») просуває гасло «беззаставні позики», але вимагає від користувачів завантажувати інтимні відео як умову, а також прив’язує ризик дефолту та механізм монетизації до дорослих платформ; багато користувачів мережі описують це як «криптозварілений варіант nude-loan».
Цей проєкт навіть використовує як рекламний слоган фразу: «Якщо ти вважаєш, що цим ніхто не буде користуватися, значить ти ще не дійшов до безвиході» — і чітко націлюється на групу користувачів із дуже високим ризиком та надзвичайним фінансовим тиском. Проте незабаром після появи в публічному доступі один із користувачів заявив, що надіслав відео, але не отримав грошей; KOL також відповів, що, ймовірно, цей проєкт зник/«розбігся» (тобто схоже, що він втік).
Але якщо чесно, то те, що приватні відео оцінюють лише в 60 ку, — це вже зовсім сумно.
«Hero Loan» націлений на тих, хто опинився в безвиході
Згідно з інформацією на офіційному сайті, цей продукт працює у BNB Chain і робить акцент на «ті, хто опинився в безвиході»
ChainNewsAbmedia04-03 13:35
Leap Wallet припинить роботу 28 травня, користувачам потрібно якнайшвидше завершити міграцію
Новини Gate News: 3 квітня криптогаманець Leap Wallet оголосив, що 28 травня припинить роботу, і користувачам потрібно якнайшвидше завершити перенесення активів. До зони зупинки входять: Compass Wallet (розширення, версії iOS та Android), Leap WebApp, Swapfast, перевірочний вузол Leap Cosmos Hub та Leap Cosmos
GateNews04-03 02:41
DRIFT (Drift Protocol) зростає на 24,16% за 24 години, зараз становить 0.0561 долара США
Станом на 3 квітня ціна DRIFT зросла на 24,16%, зараз становить 0.0561 долара, ринкова капіталізація — приблизно 32.6213 мільйона долара. Drift Protocol як децентралізована біржа демонструє переваги в безпеці та ліквідності, але через нещодавні інциденти з безпекою та заходи ризик-контролю з боку південнокорейських бірж торгівля обмежена, а ринкова волатильність посилюється.
GateNews04-03 01:29
