Введение
В воскресенье Matcha Meta сообщил о взломе безопасности, связанном с одним из его основных поставщиков ликвидности — контрактом SwapNet. В результате пострадали пользователи, которые предоставили разрешения на взаимодействие с роутером SwapNet. Этот инцидент подчеркивает, как разрешенные компоненты в экосистемах децентрализованных бирж могут стать точками атаки, даже когда основная инфраструктура остается целой. Первоначальные публичные оценки ущерба варьируются примерно от 13 до 17 миллионов долларов, при этом активность на блокчейне сосредоточена в сети Base и межцепочечных переводах в сторону Ethereum. Раскрытие информации вызвало призывы к пользователям отозвать разрешения и повысило внимание к вопросам защиты смарт-контрактов, взаимодействующих с внешними роутерами.
Ключевые выводы
Взлом произошел через контракт роутера SwapNet, что вызвало срочные рекомендации пользователям отозвать разрешения, чтобы предотвратить дальнейшие потери.
Оценки украденных средств различаются: CertiK сообщил о примерно 13,3 миллиона долларов, в то время как PeckShield оценивает минимум в 16,8 миллиона долларов в сети Base.
В сети Base злоумышленник обменял примерно 10,5 миллиона USDC на около 3 655 ETH и начал переводить средства на Ethereum.
CertiK объяснил уязвимость произвольным вызовом в контракте 0xswapnet, который позволил злоумышленнику переводить уже одобренные ему средства.
Matcha Meta указала, что уязвимость связана с SwapNet, а не с собственной инфраструктурой, и пока не предоставила деталей о компенсациях или мерах защиты.
Недостатки в смарт-контрактах продолжают оставаться основной причиной криптоэксплойтов, составляя 30,5% случаев в 2025 году, согласно ежегодному отчету SlowMist о безопасности.
Упомянутые тикеры
Упомянутые тикеры: Crypto → USDC, ETH, TRU
Настроение
Настроение: нейтральное
Влияние на цену
Влияние на цену: отрицательное. Взлом подчеркивает существующие риски безопасности в DeFi и может повлиять на настроение рынка в отношении ответственного предоставления ликвидности и управления разрешениями.
Идея для торговли (Не является финансовым советом)
Идея для торговли (Не является финансовым советом): держать. Инцидент касается конкретного пути одобрения роутера и не подразумевает прямой системный риск для всех протоколов DeFi, но требует осторожности при управлении разрешениями и межцепочечной ликвидностью.
Контекст рынка
Контекст рынка: событие происходит на фоне повышенного внимания к безопасности DeFi и межцепочечной активности, где поставщики ликвидности и агрегаторы все чаще используют модульные компоненты. Также оно происходит на фоне обсуждений о наращивании механизмов on-chain управления, аудитах и необходимости надежных мер защиты, поскольку протоколы голубых фишек и новые участники конкурируют за доверие пользователей.
Почему это важно
Почему это важно
Инциденты с безопасностью у агрегаторов DeFi демонстрируют постоянные риски, связанные с взаимодействием нескольких уровней протоколов. В данном случае взлом был обусловлен уязвимостью в контракте роутера SwapNet, а не в основной архитектуре Matcha Meta, что подчеркивает, как доверие распределено между компонентами в модульной экосистеме. Для пользователей это служит напоминанием регулярно проверять и отзывать разрешения токенов, особенно при подозрениях на аномальную активность в блокчейне.
Финансовый ущерб, хотя и продолжает оцениваться, подчеркивает важность тщательной проверки внешних поставщиков ликвидности и мониторинга потоков разрешений в реальном времени. Возможность злоумышленников конвертировать значительную часть украденных средств в стейбкоины и переводить активы на Ethereum демонстрирует межцепочечную динамику, усложняющую отслеживание и восстановление после инцидента. Биржи и исследователи безопасности подчеркивают важность детальных, ограниченных по времени разрешений и раннего отзыва для ограничения масштабов подобных эксплойтов.
С точки зрения рынка, этот инцидент дополняет более широкую дискуссию о хрупкости permissionless-финансов и гонке за внедрение надежных, проверяемых мер защиты в слоях DeFi. Хотя он не является системным обвинением Matcha Meta, инцидент усиливает требования к стандартным аудитам контрактов роутеров и более ясной ответственности за сторонние модули, взаимодействующие с пользовательскими средствами.
Что следует наблюдать дальше
Что следует наблюдать дальше
Официальные обновления Matcha Meta о причине инцидента и планах по устранению последствий или компенсациям пострадавшим пользователям.
Любые внешние аудиты или сторонние проверки контракта роутера SwapNet и изменения в управлении для предотвращения повторения.
Мониторинг on-chain активности по мосту Base-to-Ethereum и последующих движений средств.
Развитие нормативных требований и отраслевых стандартов в области безопасности DeFi, особенно в части аудита смарт-контрактов и контроля разрешений пользователей.
Источники и проверка
Пост Matcha Meta в X с предупреждением о необходимости отзывать разрешения SwapNet после взлома.
Консультация CertiK, указывающая, что уязвимость возникла из-за произвольного вызова в контракте 0xswapnet, позволившего переводить одобренные средства.
Обновление PeckShield о том, что примерно 16,8 миллиона долларов было выведено в сети Base, включая обмен USDC на ETH и перевод на Ethereum.
Ежегодный отчет SlowMist о безопасности блокчейнов и AML за 2025 год, в котором указано, что 30,5% инцидентов связаны с уязвимостями смарт-контрактов, а 24% — с компрометациями аккаунтов.
Обзор Cointelegraph по инциденту с Truebit, включающему потерю 26 миллионов долларов и снижение стоимости токена TRU, для общего понимания рисков, связанных со смарт-контрактами.
Переписанный текст статьи
Взлом безопасности в Matcha Meta подчеркивает риски смарт-контрактов в экосистемах DEX
В последнем примере того, как DeFi может быть скомпрометирован изнутри, Matcha Meta сообщил о взломе через один из своих основных путей предоставления ликвидности — контракт роутера SwapNet. Последствия для пользователей — отзыв разрешений токенов, что протокол явно рекомендовал в своем публичном сообщении. Компания отметила, что уязвимость не исходила из основной инфраструктуры Matcha Meta, а связана с уязвимостью в слое роутера партнера, который предоставлял разрешения на перемещение средств от имени пользователей.
Ранние оценки ущерба от экспертов по безопасности варьируются: CertiK оценил потери примерно в 13,3 миллиона долларов, тогда как PeckShield заявил о минимальной сумме в 16,8 миллиона долларов в сети Base. Различия связаны с разными методами учета на блокчейне и временем проведения пост-инцидентных проверок, однако оба анализа подтверждают значительный ущерб, связанный с функциональностью роутера SwapNet. В сети Base злоумышленник обменял примерно 10,5 миллиона USDC на около 3 655 ETH и начал переводить средства на Ethereum, согласно сообщению PeckShield, опубликованному в X.
На данный момент украдено примерно 16,8 миллиона долларов в криптовалюте. В сети Base злоумышленник обменял около 10,5 миллиона USDC на около 3 655 ETH и начал переводить средства на Ethereum.
Оценка CertiK дает техническое объяснение уязвимости: произвольный вызов в контракте 0xswapnet позволил злоумышленнику вывести средства, которые уже были одобрены пользователями, фактически обходя прямой кражу из пула ликвидности SwapNet и используя разрешения, предоставленные роутеру. Эта разница важна, поскольку указывает на проблему в управлении или проектировании на уровне интеграции, а не на нарушение собственных средств или мер безопасности Matcha Meta.
Matcha Meta признала, что уязвимость связана с SwapNet и не приписывает ее собственной инфраструктуре. Попытки получить комментарии о компенсациях или мерах защиты пока остались без ответа, оставляя пострадавших без ясных путей восстановления в ближайшее время. Этот инцидент иллюстрирует более широкий риск для агрегаторов DEX: при внедрении новых контрактных интерфейсов злоумышленники могут атаковать разрешенные потоки, находящиеся на стыке пользовательских разрешений и автоматических переводов.
Общая ситуация с безопасностью в криптовалютной сфере остается крайне нестабильной. В 2025 году уязвимости смарт-контрактов стали ведущей причиной эксплойтов, составляя 30,5% случаев и 56 инцидентов, согласно ежегодному отчету SlowMist. Этот показатель подчеркивает, что даже продвинутые проекты могут столкнуться с багами или неправильной настройкой автоматических механизмов передачи стоимости. Также значительную долю случаев занимают компрометации аккаунтов и социальные атаки (например, взлом аккаунтов в X), что подчеркивает многофакторность угроз.
Помимо технических аспектов, инцидент способствует развитию дискуссии о применении искусственного интеллекта в области безопасности смарт-контрактов. В отчетах DECEMBER отмечается, что коммерчески доступные AI-агенты выявили примерно 4,6 миллиона долларов эксплойтов в реальном времени, используя такие инструменты, как Claude Opus 4.5, Claude Sonnet 4.5 и GPT-5 от OpenAI. Появление AI-инструментов для поиска уязвимостей усложняет задачу аудиторам и операторам, требуя постоянного мониторинга, быстрого отзыва разрешений и адаптивных мер защиты в DeFi.
За две недели до инцидента с SwapNet произошел другой крупный взлом смарт-контракта, приведший к потерям в 26 миллионов долларов у протокола Truebit, что вызвало резкое снижение стоимости токена TRU. Эти случаи показывают, что слой смарт-контрактов остается основной точкой атаки для хакеров, несмотря на угрозы в других сферах криптоиндустрии — хранении, централизованных инфраструктурах и оффчейн-компонентах. Общая идея — управление рисками должно выходить за рамки аудитов и программ вознаграждения за баги, включая живое управление, мониторинг в реальном времени и аккуратное обращение с разрешениями и межцепочечной ликвидностью.
Обзор ситуации показывает, что путь к устойчивости DeFi лежит через многоуровневую защиту и прозрачное реагирование на инциденты. Хотя уязвимость SwapNet кажется изолированной, она подтверждает важность стандартных аудитов контрактов роутеров и ответственности за сторонние модули, взаимодействующие с пользовательскими средствами. Расследование продолжается, и эксперты, Matcha Meta и партнеры по ликвидности проводят судебные экспертизы, чтобы определить, будут ли пострадавшие получать компенсацию или улучшения в системе управления рисками, предотвращающие подобные инциденты в будущем.
Эта статья первоначально опубликована под названием «Matcha Meta подверглась взлому на 16,8 миллиона долларов через контракт SwapNet» на Crypto Breaking News — вашем надежном источнике новостей о криптовалютах, биткоине и блокчейне.
