SwapNet подверглась атаке, потеряв 17 миллионов долларов США, механизм авторизации DEX-агрегатора снова стал угрозой безопасности

26 января поступила информация о том, что децентрализованный агрегатор торгов на блокчейне SwapNet подвергся серьезной атаке с использованием умных контрактов, в результате которой было украдено около 16,8 миллиона долларов в криптоактивах, что вновь привлекло внимание к вопросам безопасности DeFi. Блокчейн-агентство PeckShield сообщило, что атака связана с вызовом маршрутизирующего контракта SwapNet через Matcha Meta (мета-агрегатор, разработанный командой 0x).

Атака произошла в сети Base: хакер сначала обменял около 10,5 миллиона долларов USDC на примерно 3655 ETH, а затем перевел средства на основную сеть Ethereum. Такой метод «кросс-чейн перевода» часто используется для усложнения отслеживания, увеличивая трудности при заморозке и возврате средств.

Matcha Meta затем пояснил, что их основная система не была взломана, а пострадавшие пользователи — это в основном те, кто отключил механизм однократных разрешений 0x. Этот механизм изначально предназначен для ограничения постоянного доступа контрактов к активам пользователя, но некоторые пользователи отключили его для повышения удобства транзакций, что позволило напрямую разрешить работу базовых агрегирующих контрактов, включая маршрутизатор SwapNet. Именно этот вход был использован злоумышленниками.

Matcha Meta заявил, что уже сотрудничает с командой SwapNet, и соответствующие контракты временно отключены. Также призвал пользователей немедленно отменить все разрешения для агрегаторов, не использующих механизм однократных разрешений, особенно для маршрутизатора SwapNet, чтобы избежать дальнейших рисков.

Данный инцидент вновь выявил долгосрочный конфликт между «удобством» и «безопасностью» в DeFi. Однократные разрешения, хотя и требуют дополнительных действий, значительно снижают риск кражи средств, тогда как постоянные разрешения повышают эффективность транзакций, но при взломе контрактов увеличивают масштабы потерь.

В то же время в основной сети Ethereum в тот же день произошел инцидент, связанный с уязвимостью в закрытых и неподтвержденных контрактах: пострадало около 37 WBTC, что еще больше усилило опасения рынка по поводу прозрачности контрактов и механизмов аудита. SwapNet пока не объявил о компенсациях пользователям, но можно предсказать, что безопасность и аудит моделей разрешений и агрегаторов DEX значительно усилится к 2026 году.