SwapNet зазнав атаки з втратами у 17 мільйонів доларів США, механізм авторизації DEX-агрегатора знову став безпековою загрозою

26 січня повідомляється, що децентралізований агрегатор обмінів на блокчейні SwapNet зазнав серйозної атаки смарт-контракту, внаслідок якої було викрадено близько 16,8 мільйонів доларів у криптоактивах, що знову підняло питання безпеки DeFi. Блокчейн-інституція PeckShield повідомила, що атака пов’язана з викликом маршрутизуючого контракту SwapNet через Matcha Meta (який розроблений командою 0x), що є мета-агрегатором.

Атака сталася в мережі Base, хакер спершу обміняв близько 10,5 мільйонів доларів USDC на приблизно 3655 ETH, а потім перекинув кошти на основну мережу Ethereum. Такий метод «міжланцюгового переказу» часто використовується для ускладнення слідування транзакціям і збільшення труднощів з блокуванням і поверненням коштів.

Matcha Meta пізніше пояснив, що їхня основна система не була зламаною, а постраждалими є переважно користувачі, які вимкнули одноразову авторизацію 0x. Ця функція безпеки була створена для обмеження безперервного доступу контракту до активів користувачів, але деякі користувачі для зручності транзакцій вирішили її відключити, що дозволило безпосередньо авторизувати базовий агрегаторський контракт, включаючи маршрутизатор SwapNet. Саме цю точку входу й використали зловмисники.

Matcha Meta заявив, що співпрацює з командою SwapNet для вирішення ситуації, відповідний контракт тимчасово деактивовано, і закликав користувачів негайно відкликати всі дозволи на агрегаторські контракти, окрім одноразової авторизації, особливо для маршрутизатора SwapNet, щоб уникнути подальших ризиків.

Ця подія ще раз підкреслює довгостроковий конфлікт у DeFi між «зручністю та безпекою». Одноразова авторизація, хоча і додає кроки до операцій, значно зменшує ймовірність крадіжки активів у майбутньому; безлімітна авторизація, навпаки, підвищує ефективність транзакцій, але при зломі контракту збільшує масштаби збитків.

Тим часом, у основній мережі Ethereum того ж дня сталася ще одна уразливість, пов’язана з закритими та неперевіреними контрактами, що торкнулася близько 37 WBTC, що додатково посилило занепокоєння ринку щодо прозорості контрактів і механізмів аудиту. SwapNet поки що не оголосив про компенсацію користувачам, але можна передбачити, що у 2026 році безпека DEX-агрегаторів і моделей авторизації буде значно посилена.