Agregador DEX atingido por exploração de $16,8 milhões do SwapNet após contornar aprovação

• Anúncio -

O agregador de trocas descentralizado Matcha Meta confirmou um incidente de segurança ligado à sua integração SwapNet, resultando numa perda estimada de 16,8 milhões de dólares.

A violação foi inicialmente sinalizada pela empresa de segurança blockchain PeckShield, com uma análise técnica adicional posteriormente fornecida pela CertiK.

O que deu errado

De acordo com as conclusões partilhadas por investigadores de segurança, a exploração afetou especificamente utilizadores que tinham desativado a funcionalidade de “Aprovação Única” do Matcha Meta. Ao optarem por não usar, esses utilizadores concederam permissões permanentes diretamente ao contrato do roteador SwapNet, criando uma superfície de ataque que foi posteriormente explorada.

#PeckShieldAlert Matcha Meta reportou uma violação de segurança envolvendo o SwapNet. Utilizadores que optaram por não usar “Aprovações Únicas” estão em risco.

Até agora, cerca de 16,8 milhões de dólares em criptomoedas foram drenados.

No #Base, o atacante trocou cerca de 10,5 milhões de $USDC por cerca de 3.655 $ETH e começou a transferir fundos para… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 de janeiro de 2026

A CertiK identificou a causa raiz como uma vulnerabilidade de “chamada arbitrária” no contrato SwapNet. Esta falha permitiu a um atacante iniciar transferências não autorizadas de carteiras que tinham previamente aprovado o utilização do roteador, contornando efetivamente as salvaguardas normais.

Movimento de fundos e âmbito

A atividade na blockchain mostra que o atacante trocou aproximadamente 10,5 milhões de dólares em USDC no Base por cerca de 3.655 ETH, antes de transferir os ativos para a Ethereum. O movimento entre cadeias parece ter sido desenhado para dificultar o rastreamento e os esforços de recuperação.

Importa salientar que o incidente não afetou todos os utilizadores do Matcha. A exposição foi limitada às carteiras que desativaram manualmente as aprovações únicas e concederam permissões diretas aos contratos do SwapNet.

                Bitcoin supera Ouro e Prata numa sondagem de investimento de 100.000 dólares

Medidas de resposta de emergência

Em resposta ao exploit, o Matcha Meta tomou várias medidas imediatas:

• Os contratos do SwapNet foram suspensos para evitar mais perdas.
• Os utilizadores foram aconselhados a revogar as aprovações existentes, particularmente para o contrato do roteador SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• A plataforma removeu a opção de desativar aprovações únicas, visando reduzir riscos semelhantes no futuro.

O incidente destaca as compensações de segurança associadas às aprovações permanentes de contratos e reforça a importância de revisões regulares de permissões, especialmente ao interagir com agregadores e contratos de roteamento.