A SwapNet sofreu um ataque com uma perda de 17 milhões de dólares, o mecanismo de autorização do agregador DEX torna-se novamente um risco de segurança
Segundo notícias de 26 de janeiro, a SwapNet, um agregador de exchanges descentralizadas on-chain, sofreu um grande ataque a contratos inteligentes, e aproximadamente 16,8 milhões de dólares em criptoativos foram roubados, fazendo com que os riscos de segurança DeFi voltassem a ser o foco principal. A agência de segurança blockchain PeckShield revelou que o ataque estava relacionado com um contrato de encaminhamento SwapNet chamado através da Matcha Meta, um meta-agregador desenvolvido pela equipa 0x.
O ataque ocorreu na rede Base, onde os hackers trocaram inicialmente cerca de 10,5 milhões de dólares em USDC por cerca de 3.655 ETH e depois transferiram os fundos para a mainnet Ethereum. Este método de “transferência entre cadeias” é frequentemente utilizado para alongar o percurso de acompanhamento e aumentar a dificuldade de congelar e recuperar fundos.
A Matcha Meta esclareceu então que o seu sistema central não foi comprometido, e que os utilizadores afetados foram principalmente aqueles que desativaram o mecanismo de autorização 0x de uso único. Esta funcionalidade de segurança foi originalmente concebida para restringir o acesso contínuo do contrato aos ativos dos utilizadores, mas alguns utilizadores optaram por desativá-la para melhorar a conveniência das transações, autorizando assim diretamente os contratos agregadores subjacentes, incluindo os routers da SwapNet. É esta entrada que é explorada pelos atacantes.
A Matcha Meta afirmou que trabalhou em conjunto com a equipa da SwapNet e que os contratos relevantes foram temporariamente suspensos, apelando aos utilizadores para que revogassem imediatamente todas as autorizações dos agregadores ao abrigo do quadro de autorização não única, especialmente o contrato de router da SwapNet, para evitar riscos adicionais.
Este incidente revelou novamente a contradição de longa data entre “conveniência e segurança” no DeFi. Embora a autorização única aumente os passos de operação, pode reduzir significativamente a possibilidade de roubo contínuo; Embora a autorização ilimitada melhore a eficiência das transações, amplifica as perdas quando o contrato é violado.
Ao mesmo tempo, houve também um incidente de vulnerabilidade relacionado com contratos de código fechado e não verificados na mainnet Ethereum no mesmo dia, afetando cerca de 37 WBTC, amplificando ainda mais as preocupações do mercado sobre transparência contratual e mecanismos de auditoria. A SwapNet ainda não anunciou se irá compensar os utilizadores, mas é previsível que o escrutínio de segurança em torno dos agregadores DEX e modelos de autorização se intensifique significativamente em 2026.