Matcha Meta подверглась взлому смарт-контракта SwapNet на сумму $16.8M

Введение В воскресенье Matcha Meta сообщил о взломе безопасности, связанном с одним из его основных поставщиков ликвидности — контрактом SwapNet. В результате пострадали пользователи, которые предоставили разрешения на взаимодействие с роутером SwapNet. Этот инцидент подчеркивает, как разрешенные компоненты в экосистемах децентрализованных бирж могут стать точками атаки, даже когда основная инфраструктура остается целой. Первоначальные публичные оценки ущерба варьируются примерно от 13 до 17 миллионов долларов, при этом активность на блокчейне сосредоточена в сети Base и межцепочечных переводах в сторону Ethereum. Раскрытие информации вызвало призывы к пользователям отозвать разрешения и повысило внимание к вопросам защиты смарт-контрактов, взаимодействующих с внешними роутерами.

Ключевые выводы

Взлом произошел через контракт роутера SwapNet, что вызвало срочные рекомендации пользователям отозвать разрешения, чтобы предотвратить дальнейшие потери.

Оценки украденных средств различаются: CertiK сообщил о примерно 13,3 миллиона долларов, в то время как PeckShield оценивает минимум в 16,8 миллиона долларов в сети Base.

В сети Base злоумышленник обменял примерно 10,5 миллиона USDC на около 3 655 ETH и начал переводить средства на Ethereum.

CertiK объяснил уязвимость произвольным вызовом в контракте 0xswapnet, который позволил злоумышленнику переводить уже одобренные ему средства.

Matcha Meta указала, что уязвимость связана с SwapNet, а не с собственной инфраструктурой, и пока не предоставила деталей о компенсациях или мерах защиты.

Недостатки в смарт-контрактах продолжают оставаться основной причиной криптоэксплойтов, составляя 30,5% случаев в 2025 году, согласно ежегодному отчету SlowMist о безопасности.

Упомянутые тикеры

Упомянутые тикеры: Crypto → USDC, ETH, TRU

Настроение

Настроение: нейтральное

Влияние на цену

Влияние на цену: отрицательное. Взлом подчеркивает существующие риски безопасности в DeFi и может повлиять на настроение рынка в отношении ответственного предоставления ликвидности и управления разрешениями.

Идея для торговли (Не является финансовым советом)

Идея для торговли (Не является финансовым советом): держать. Инцидент касается конкретного пути одобрения роутера и не подразумевает прямой системный риск для всех протоколов DeFi, но требует осторожности при управлении разрешениями и межцепочечной ликвидностью.

Контекст рынка

Контекст рынка: событие происходит на фоне повышенного внимания к безопасности DeFi и межцепочечной активности, где поставщики ликвидности и агрегаторы все чаще используют модульные компоненты. Также оно происходит на фоне обсуждений о наращивании механизмов on-chain управления, аудитах и необходимости надежных мер защиты, поскольку протоколы голубых фишек и новые участники конкурируют за доверие пользователей.

Почему это важно

Почему это важно

Инциденты с безопасностью у агрегаторов DeFi демонстрируют постоянные риски, связанные с взаимодействием нескольких уровней протоколов. В данном случае взлом был обусловлен уязвимостью в контракте роутера SwapNet, а не в основной архитектуре Matcha Meta, что подчеркивает, как доверие распределено между компонентами партнеров в модульной экосистеме. Для пользователей это служит напоминанием регулярно проверять и отзывать разрешения токенов, особенно при подозрениях на аномальную активность в блокчейне.

Финансовый ущерб, хотя и продолжает оцениваться, подчеркивает важность тщательной проверки внешних поставщиков ликвидности и мониторинга потоков разрешений в реальном времени. Возможность злоумышленников конвертировать значительную часть украденных средств в стейбкоины и переводить активы на Ethereum демонстрирует межцепочечную динамику, усложняющую отслеживание и восстановление после инцидента. Биржи и исследователи безопасности подчеркивают важность детальных, временных ограничений разрешений и раннего отзыва для ограничения масштабов подобных эксплойтов.

С точки зрения рынка, этот инцидент дополняет более широкую дискуссию о хрупкости permissionless-финансов и гонке за внедрение надежных, проверяемых мер защиты в слоях экосистем DeFi. Хотя он не является системным обвинением Matcha Meta, инцидент усиливает требования к стандартным аудитам контрактов роутеров и более четкой ответственности за сторонние модули, взаимодействующие с пользовательскими средствами.

Что следует наблюдать дальше

Что следует наблюдать дальше

Официальные обновления Matcha Meta о причине инцидента и планах по устранению последствий или компенсации пострадавшим пользователям.

Любые внешние аудиты или сторонние проверки контракта роутера SwapNet и изменения в управлении для предотвращения повторения.

Мониторинг on-chain активности по мосту Base-to-Ethereum и последующих движений средств.

Развитие нормативной базы и отраслевых стандартов в области безопасности DeFi, особенно в части аудита смарт-контрактов и контроля разрешений пользователей.

Источники и проверка

Пост Matcha Meta в X с предупреждением о необходимости отзывать разрешения SwapNet после взлома.

Консультация CertiK, указывающая, что уязвимость возникла из-за произвольного вызова в контракте 0xswapnet, позволившего переводить одобренные средства.

Обновление PeckShield о том, что примерно 16,8 миллиона долларов было выведено в сети Base, включая обмен USDC на ETH и перевод на Ethereum.

Ежегодный отчет SlowMist о безопасности блокчейнов и AML за 2025 год, в котором указано, что 30,5% инцидентов связаны с уязвимостями смарт-контрактов, а 24% — с компрометациями аккаунтов.

Освещение инцидента Truebit на Cointelegraph, включающее потерю в 26 миллионов долларов и снижение курса токена TRU, что дает более широкий контекст риска смарт-контрактов.

Переписанный текст статьи

Взлом безопасности в Matcha Meta подчеркивает риски смарт-контрактов в экосистемах DEX

В последнем примере того, как DeFi может быть скомпрометирован изнутри, Matcha Meta сообщил о взломе через один из своих основных путей предоставления ликвидности — контракт роутера SwapNet. В результате пользователи были вынуждены отзывать разрешения на токены, что протокол явно рекомендовал сделать в своем публичном сообщении. Компания отметила, что инцидент не произошел в основной инфраструктуре Matcha Meta, а скорее связан с уязвимостью в слое роутера партнера, который предоставил разрешения на перемещение средств от имени пользователей.

Ранние оценки ущерба от экспертов по безопасности показывают, что сумма находится в узком диапазоне. CertiK оценил потери примерно в 13,3 миллиона долларов, тогда как PeckShield заявил о минимальной сумме в 16,8 миллиона долларов в сети Base. Различия связаны с разными методами учета на блокчейне и временем проведения постинцидентных проверок, однако оба анализа подтверждают значительный ущерб, связанный с функциональностью роутера SwapNet. В сети Base злоумышленник обменял примерно 10,5 миллиона USDC на около 3 655 ETH и начал переводить средства на Ethereum, согласно сообщению PeckShield, опубликованному в X.

На данный момент украдено примерно 16,8 миллиона долларов в криптовалюте. В сети Base злоумышленник обменял около 10,5 миллиона USDC на примерно 3 655 ETH и начал переводить средства на Ethereum.

Оценка CertiK дает техническое объяснение уязвимости: произвольный вызов в контракте 0xswapnet позволил злоумышленнику вывести средства, которые пользователи уже одобрили, фактически обходя прямое похищение из пула ликвидности SwapNet и используя разрешения, предоставленные роутеру. Эта разница важна, поскольку указывает на проблему в управлении или проектировании на уровне интеграции, а не на нарушение собственных средств или мер безопасности Matcha Meta.

Matcha Meta признала, что уязвимость связана с SwapNet и не приписывает ее собственной инфраструктуре. Попытки получить комментарии о механизмах компенсации или мерах защиты пока остались без ответа, оставляя пострадавших без ясных путей восстановления в ближайшее время. Этот инцидент иллюстрирует более широкий риск для агрегаторов DEX: при внедрении новых контрактных интерфейсов злоумышленники могут нацеливаться на разрешенные потоки, находящиеся на границе между одобрениями пользователей и автоматическими переводами средств.

Общая ситуация с безопасностью в крипто остается крайне нестабильной. В 2025 году уязвимости смарт-контрактов стали ведущей причиной эксплойтов, составляя 30,5% случаев и 56 инцидентов, согласно ежегодному отчету SlowMist. Этот показатель подчеркивает, что даже продвинутые проекты могут столкнуться с ошибками или неправильной настройкой кода, управляющего автоматическими переводами. Компрометации аккаунтов и взломы социальных аккаунтов (например, аккаунтов Victims в X) также занимают значительную долю случаев, что подчеркивает многофакторность угроз.

Помимо технических аспектов, инцидент способствует росту дискуссий о применении искусственного интеллекта в области безопасности смарт-контрактов. В отчетах DECEMBER отмечается, что коммерческие AI-агенты обнаружили примерно 4,6 миллиона долларов эксплойтов в реальном времени, используя такие инструменты, как Claude Opus 4.5, Claude Sonnet 4.5 и GPT-5 от OpenAI. Появление методов автоматизированного поиска уязвимостей с помощью AI усложняет задачу аудиторов и операторов. Этот развивающийся уровень угроз подчеркивает необходимость постоянного мониторинга, быстрого отзыва разрешений и адаптивных мер защиты в DeFi.

За две недели до инцидента с SwapNet произошел другой крупный взлом смарт-контракта, приведший к потерям в 26 миллионов долларов у протокола Truebit, что вызвало резкое снижение курса токена TRU. Такие случаи подтверждают, что слой смарт-контрактов остается основной точкой атаки для хакеров, несмотря на угрозы в других сферах крипто: хранение, централизованная инфраструктура и оффчейн-компоненты также подвержены рискам. Общая идея — управление рисками должно выходить за рамки аудитов и программ вознаграждения за обнаружение ошибок, включая живое управление, мониторинг в реальном времени и аккуратное обращение с разрешениями и межцепочечной ликвидностью.

По мере того как рынок осмысливает последствия, эксперты подчеркивают, что путь к устойчивости в DeFi лежит через многоуровневую защиту и прозрачное реагирование на инциденты. Хотя уязвимость SwapNet кажется изолированной, этот случай подтверждает важность стандартных аудитов контрактов роутеров и более четкой ответственности сторонних модулей, взаимодействующих с пользовательскими средствами.

Что следует наблюдать дальше

Что следует наблюдать дальше

Официальные заявления Matcha Meta о причинах инцидента и планах по устранению последствий или компенсации пострадавшим.

Любые внешние аудиты или сторонние проверки контракта роутера SwapNet и изменения в управлении для предотвращения повторных случаев.

Мониторинг on-chain активности по мосту Base-to-Ethereum и последующих движений средств.

Развитие нормативных требований и отраслевых стандартов в области безопасности DeFi, особенно в части аудита смарт-контрактов и контроля разрешений пользователей.

Источники и проверка

Пост Matcha Meta в X с предупреждением о необходимости отзывать разрешения SwapNet после взлома.

Консультация CertiK, указывающая, что уязвимость возникла из-за произвольного вызова в контракте 0xswapnet, позволившего переводить одобренные средства.

Обновление PeckShield о том, что примерно 16,8 миллиона долларов было выведено в сети Base, включая обмен USDC на ETH и перевод на Ethereum.

Ежегодный отчет SlowMist о безопасности блокчейнов и AML за 2025 год, в котором указано, что 30,5% инцидентов связаны с уязвимостями смарт-контрактов, а 24% — с компрометациями аккаунтов.

Освещение инцидента Truebit на Cointelegraph, включающее потерю в 26 миллионов долларов и снижение курса токена TRU, что дает более широкий контекст риска смарт-контрактов.

Переписанный текст статьи

Взлом безопасности в Matcha Meta подчеркивает риски смарт-контрактов в экосистемах DEX

В последнем примере того, как DeFi может быть скомпрометирован изнутри, Matcha Meta сообщил о взломе через один из своих основных путей предоставления ликвидности — контракт роутера SwapNet. Пользователи были вынуждены отозвать разрешения на токены, что протокол явно рекомендовал сделать в своем публичном сообщении. Компания отметила, что инцидент не произошел в основной инфраструктуре Matcha Meta, а скорее связан с уязвимостью в слое роутера партнера, который предоставил разрешения на перемещение средств от имени пользователей.

Ранние оценки ущерба от экспертов по безопасности показывают, что сумма находится в узком диапазоне. CertiK оценил потери примерно в 13,3 миллиона долларов, тогда как PeckShield заявил о минимальной сумме в 16,8 миллиона долларов в сети Base. Различия связаны с разными методами учета на блокчейне и временем проведения постинцидентных проверок, однако оба анализа подтверждают значительный ущерб, связанный с функциональностью роутера SwapNet. В сети Base злоумышленник обменял примерно 10,5 миллиона USDC на около 3 655 ETH и начал переводить средства на Ethereum, согласно сообщению PeckShield, опубликованному в X.

На данный момент украдено примерно 16,8 миллиона долларов в криптовалюте. В сети Base злоумышленник обменял около 10,5 миллиона USDC на примерно 3 655 ETH и начал переводить средства на Ethereum.

Оценка CertiK дает техническое объяснение уязвимости: произвольный вызов в контракте 0xswapnet позволил злоумышленнику вывести средства, которые пользователи уже одобрили, фактически обходя прямое похищение из пула ликвидности SwapNet и используя разрешения, предоставленные роутеру. Эта разница важна, поскольку указывает на проблему в управлении или проектировании на уровне интеграции, а не на нарушение собственных средств или мер безопасности Matcha Meta.

Matcha Meta признала, что уязвимость связана с SwapNet и не приписывает ее собственной инфраструктуре. Попытки получить комментарии о механизмах компенсации или мерах защиты пока остались без ответа, оставляя пострадавших без ясных путей восстановления в ближайшее время. Этот инцидент иллюстрирует более широкий риск для агрегаторов DEX: при внедрении новых контрактных интерфейсов злоумышленники могут нацеливаться на разрешенные потоки, находящиеся на границе между одобрениями пользователей и автоматическими переводами средств.

Общая ситуация с безопасностью в крипто остается крайне нестабильной. В 2025 году уязвимости смарт-контрактов стали ведущей причиной эксплойтов, составляя 30,5% случаев и 56 инцидентов, согласно ежегодному отчету SlowMist. Этот показатель подчеркивает, что даже продвинутые проекты могут столкнуться с ошибками или неправильной настройкой кода, управляющего автоматическими переводами. Компрометации аккаунтов и взломы социальных аккаунтов (например, аккаунтов Victims в X) также занимают значительную долю случаев, что подчеркивает многофакторность угроз.

Помимо технических аспектов, инцидент способствует росту дискуссий о применении искусственного интеллекта в области безопасности смарт-контрактов. В отчетах DECEMBER отмечается, что коммерческие AI-агенты обнаружили примерно 4,6 миллиона долларов эксплойтов в реальном времени, используя такие инструменты, как Claude Opus 4.5, Claude Sonnet 4.5 и GPT-5 от OpenAI. Появление методов автоматизированного поиска уязвимостей с помощью AI усложняет задачу аудиторов и операторов. Этот развивающийся уровень угроз подчеркивает необходимость постоянного мониторинга, быстрого отзыва разрешений и адаптивных мер защиты в DeFi.

За две недели до инцидента с SwapNet произошел другой крупный взлом смарт-контракта, приведший к потерям в 26 миллионов долларов у протокола Truebit, что вызвало резкое снижение курса токена TRU. Такие случаи подтверждают, что слой смарт-контрактов остается основной точкой атаки для хакеров, несмотря на угрозы в других сферах крипто: хранение, централизованная инфраструктура и оффчейн-компоненты также подвержены рискам. Общая идея — управление рисками должно выходить за рамки аудитов и программ вознаграждения за обнаружение ошибок, включая живое управление, мониторинг в реальном времени и аккуратное обращение с разрешениями и межцепочечной ликвидностью.

По мере того как рынок осмысливает последствия, эксперты подчеркивают, что путь к устойчивости в DeFi лежит через многоуровневую защиту и прозрачное реагирование на инциденты. Хотя уязвимость SwapNet кажется изолированной, этот случай подтверждает важность стандартных аудитов контрактов роутеров и более четкой ответственности сторонних модулей, взаимодействующих с пользовательскими средствами.