En Bref
- L’exploitation de SwapNet entraîne un drain de 16,8 millions de dollars après que les utilisateurs ont désactivé les protections d’autorisation unique.
- L’attaquant a échangé 10,5 millions de USDC contre de l’ETH sur Base avant de le transférer vers Ethereum.
- Matcha Meta désactive les contrats affectés alors que des cabinets de sécurité signalent des risques plus larges dans la DeFi.
Une faille de sécurité liée à SwapNet a entraîné une perte d’environ 16,8 millions de dollars, affectant les utilisateurs interagissant via Matcha Meta. L’incident a principalement concerné les utilisateurs ayant désactivé les autorisations uniques, exposant ainsi des permissions de jetons persistantes.
La société de sécurité blockchain PeckShieldAlert a identifié l’exploitation et tracé les mouvements initiaux des fonds. L’attaquant a ciblé les contrats de routeur SwapNet qui conservaient des autorisations illimitées provenant des portefeuilles des utilisateurs affectés.
Sur le réseau Base, l’attaquant a échangé environ 10,5 millions de dollars en USDC contre environ 3 655 ETH. Peu de temps après, l’attaquant a commencé à transférer les actifs convertis vers le réseau principal Ethereum pour compliquer le suivi.
SwapNet fonctionne comme un routeur de liquidité utilisé par Matcha Meta pour obtenir des prix et une liquidité profonde. L’exploitation a impliqué l’abus des autorisations existantes plutôt que la violation des clés privées ou de l’infrastructure principale.
Matcha Meta, développé par l’équipe 0x, a confirmé le problème et a immédiatement désactivé les contrats SwapNet affectés. La plateforme a également supprimé l’option permettant aux utilisateurs d’accorder des autorisations directes à des agrégateurs tiers.
L’enquête s’élargit alors que des cabinets de sécurité signalent des risques plus importants
Une analyse plus approfondie a suggéré que l’exploitation provenait d’une vulnérabilité d’appel arbitraire dans les contrats SwapNet. Ce défaut permettait aux attaquants de transférer des jetons approuvés sans demander de nouvelles permissions.
La société de sécurité BlockSec a rapporté que plusieurs contrats sur différentes chaînes ont subi des pertes dépassant 17 millions de dollars. Les réseaux affectés comprenaient Ethereum, Arbitrum, Base et BNB Chain, ce qui augmente la portée de l’incident.
Par ailleurs, CertiK a estimé que près de 13,3 millions de dollars en USDC avaient été volés dans le cadre d’activités connexes.
Certains contrats impliqués restaient en source fermée et non vérifiés lors du déploiement.
Matcha Meta a ensuite confirmé que les contrats principaux 0x n’étaient pas affectés par l’incident.
Les utilisateurs s’appuyant sur des autorisations d’un seul coup via l’infrastructure 0x sont restés indemnes.
L’incident a relancé la vigilance concernant les autorisations persistantes de jetons dans la finance décentralisée.
Les permissions illimitées offrent de la commodité mais augmentent l’exposition en cas de défaillance des contrats intelligents.
Par ailleurs, l’enquêteur on-chain ZachXBT a critiqué la réponse tardive de Circle pour geler le reste des USDC. Environ 3 millions de dollars seraient restés à des adresses éligibles au gel pendant la période de réponse.
La faille s’ajoute à une liste croissante de défaillances de sécurité dans la DeFi au début de 2026. Les données du secteur montrent que les fonds cryptographiques volés ont atteint des niveaux record ces dernières années, augmentant la pression sur les pratiques de sécurité des protocoles.
|
| AVERTISSEMENT : Les informations présentes sur ce site sont fournies à titre de commentaire général sur le marché et ne constituent pas un conseil en investissement. Nous vous encourageons à faire vos propres recherches avant d’investir. |
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Lorsque la DeFi est trop lente pour les jeunes et trop risquée pour les vieilles fortunes : est-ce qu’on s’accroche tous au rendement des obligations d’État pour compenser le risque des obligations pourries ?
La DeFi a autrefois attiré les jeunes avec des APY à cinq chiffres, mais elle est désormais considérée comme trop chère et trop risquée. Au cours de la dernière année, plus de 1,62 milliard de dollars ont été volés ; Aave a vu son taux grimper jusqu’à 12,4 % à un moment. Le rendement équitable est d’environ 12,55 %, avec un seuil de 18 % pour les particuliers ; les institutions préfèrent une « caisse-forte d’isolation des stratégies » afin de réduire le risque de queue. Conclusion : l’effet de levier élevé n’est plus, et à l’avenir il faudra une tarification du risque plus élevée et des instruments d’assurance pour pouvoir accueillir à la fois les jeunes et les vieux capitaux.
ChainNewsAbmediaIl y a 6h
Robinhood met en garde contre des e-mails de phishing envoyés à certains clients
Message de Gate News, 27 avril — Robinhood a alerté des utilisateurs sur les réseaux sociaux que certains clients avaient reçu, dimanche soir dernier, des e-mails frauduleux prétendant provenir de noreply@robinhood.com avec pour objet « Your recent login to Robinhood. »
La tentative de phishing découlait d’un mauvais usage du processus de création de compte, et non d’une violation des systèmes de l’entreprise ni des comptes clients
GateNewsIl y a 6h
L’échange crypto Websea fait face à une arnaque de sortie présumée, les canaux de retrait sont fermés
Message de Gate News, 27 avril — La plateforme de trading de crypto Websea a suspendu les retraits et fermé ses canaux C2C (pair-à-pair), plusieurs utilisateurs déclarant que la bourse semble avoir mis en place une arnaque de sortie. La plateforme a d’abord restreint les retraits avant de fermer complètement le canal C2C,
GateNewsIl y a 6h
Le token RAVE explose 110 fois en deux semaines, puis s'effondre de 98 % au milieu d'accusations de manipulation du marché
Message d'actualité Gate News, 27 avril — RAVE, le token natif de RaveDAO (d'un projet culturel de communauté basé sur Web3), a été multiplié par 110 en deux semaines avant de chuter de 98% en deux jours les 19-20 avril, suscitant des comparaisons avec la célèbre affaire de manipulation boursière du titre Lubo en 2007 en Corée du Sud.
Le 18 avril, RAVE r
GateNewsIl y a 9h
Le PDG de la plateforme d’échange crypto polonaise Zondacrypto s’enfuit en Israël alors que l’enquête pour fraude s’approfondit davantage
Les procureurs polonais ont ouvert une enquête pour fraude contre la plateforme d’échange de cryptomonnaies Zondacrypto après le départ du directeur général Przemysław Kral pour Israël, où sa nationalité pourrait empêcher l’extradition, exposant jusqu’à 30 000 utilisateurs à des pertes liées à un portefeuille froid inaccessible contenant 4 500
Coinpedia04-25 21:33
TRADOOR Token Crashes 90% in 30 Minutes Amid Suspected Price Manipulation and Wash Trading
Gate News message, April 25 — TRADOOR token experienced a sharp 90% price crash over 30 minutes at 2:00 AM today, according to on-chain analyst Specter. The token had surged as much as 900% since March 2026 before the sudden collapse, raising suspicions of price manipulation and coordinated
GateNews04-25 13:05
