Agrégateur DEX victime d'une exploitation de SwapNet de 16,8 millions de dollars après contournement de l'autorisation

• Publicité -

L’agrégateur d’échanges décentralisé Matcha Meta a confirmé un incident de sécurité lié à son intégration SwapNet, entraînant une perte estimée à 16,8 millions de dollars.

La faille a été signalée pour la première fois par la société de sécurité blockchain PeckShield, avec une analyse technique supplémentaire fournie ultérieurement par CertiK.

Qu’est-ce qui a mal tourné

Selon les conclusions partagées par des chercheurs en sécurité, l’exploit a spécifiquement impacté les utilisateurs ayant désactivé la fonction « Approvisionnement Unique » de Matcha Meta. En choisissant de ne pas l’activer, ces utilisateurs ont accordé des permissions persistantes directement au contrat du routeur SwapNet, créant une surface d’attaque qui a été ensuite exploitée.

#PeckShieldAlert Matcha Meta a signalé une faille de sécurité impliquant SwapNet. Les utilisateurs ayant désactivé les « Approvisionnements Uniques » sont en danger.

Jusqu’à présent, environ 16,8 millions de dollars en crypto ont été drainés.

Sur #Base, l’attaquant a échangé environ 10,5 millions de $USDC contre environ 3 655 $ETH et a commencé à transférer les fonds vers… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 janvier 2026

CertiK a identifié la cause principale comme une vulnérabilité d’« appel arbitraire » dans le contrat SwapNet. Ce défaut a permis à un attaquant d’initier des transferts non autorisés depuis des portefeuilles ayant précédemment approuvé le routeur, contournant ainsi les protections normales.

Mouvement des fonds et portée

L’activité sur la blockchain montre que l’attaquant a échangé environ 10,5 millions de dollars en USDC sur Base contre environ 3 655 ETH, avant de transférer les fonds vers Ethereum. Le mouvement inter-chaînes semble conçu pour compliquer le suivi et la récupération.

Il est important de noter que l’incident n’a pas affecté tous les utilisateurs de Matcha. L’exposition était limitée aux portefeuilles ayant désactivé manuellement les approbations uniques et accordé des permissions directes aux contrats SwapNet.

                Bitcoin dépasse l’or et l’argent dans un sondage sur un investissement de 100 000 $

Mesures d’urgence

En réponse à l’exploit, Matcha Meta a pris plusieurs mesures immédiates :

• Les contrats SwapNet ont été suspendus pour éviter d’autres pertes.
• Les utilisateurs ont été invités à révoquer les approbations existantes, en particulier pour le contrat du routeur SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• La plateforme a supprimé l’option de désactiver les approbations uniques, afin de réduire les risques similaires à l’avenir.

L’incident met en lumière les compromis en matière de sécurité liés aux approbations persistantes des contrats et souligne l’importance de revoir régulièrement les permissions, notamment lors d’interactions avec des agrégateurs et des contrats de routage.