SwapNet, decentralizovaný výměnný agregátor, ztratil přibližně 16,8 milionu dolarů na aktivech v kryptoměně poté, co útočníci využili kompromitovanou routerovou smlouvu, ke které uživatelé udělili trvalá oprávnění tokenů tím, že deaktivovali klíčovou bezpečnostní funkci.
Co se stalo: zranitelnost na agregátoru DEX
Bezpečnostní společnost PeckShield nahlásila útok, který cílil na činnost spojenou se SwapNetem, přístupnou prostřednictvím Matcha Meta, meta-aggregátoru DEX vyvinutého týmem 0x. Zranitelnost postihla uživatele, kteří deaktivovali systém „jednorázového schválení“ (One-Time Approval) od 0x, což umožnilo přímá oprávnění k základním agregátním smlouvám.
Na síti Base útočník převedl přibližně 10,5 milionu dolarů na USDC (USDC) na přibližně 3 655 Ether (ETH) předtím, než převedl prostředky na Ethereum (ETH).
Tento manévr je běžnou taktikou používanou k ztížení sledování.
„Jsme si vědomi incidentu, který zahrnoval SwapNet, kterému mohli být vystaveni někteří uživatelé Matcha Meta, kteří deaktivovali jednorázová oprávnění,“ uvedla Matcha Meta ve svém prohlášení. Platforma identifikovala routerovou smlouvu SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) jako nejurgentnější oprávnění, které by uživatelé měli odvolat.
Přečtěte si také: Jižní korejští prokurátoři ztratili 47 milionů dolarů v zabaveném Bitcoinu kvůli phishingovému útoku
Proč je to důležité: přetrvávající zranitelnosti DeFi
Incident zvýrazňuje základní napětí v decentralizovaných financích mezi pohodlím a bezpečností. Jednorázová oprávnění nutí uživatele validovat každou transakci jednotlivě, což snižuje trvalou plochu útoku, ale přidává tření pro časté tradery. Neomezená oprávnění nabízejí rychlost na úkor trvalého přístupu chytrých smluv k prostředkům uživatelů.
SwapNet dosud nezveřejnil technickou zprávu po události ani neoznámil, zda budou poškození uživatelé odškodněni.
Tentýž den bezpečnostní auditor Pashov nahlásil další zranitelnost na mainnetu Ethereum, která zahrnovala přibližně 37 WBTC (WBTC) v hodnotě více než 3,1 milionu dolarů, spojenou se uzavřenou a neověřenou smlouvou nasazenou pouze 41 dní předtím.
Před přibližně měsícem byla komunita DeFi šokována hackem Trust Wallet.
Trust Wallet potvrdil, že přibližně 7 milionů dolarů v kryptoměně bylo ukradeno prostřednictvím kompromitované aktualizace rozšíření prohlížeče. Zranitelnost zasáhla pouze verzi 2.68 rozšíření Chrome, vydanou 24. prosince. Naštěstí uživatelé mobilní aplikace nebyli postiženi. Changpeng Zhao, zakladatel Binance, vlastníka Trust Wallet, uvedl, že peněženka odškodní všechny dotčené uživatele.
Přečtěte si také: Proč velryby kupují Seeker, zatímco chytré peníze prodávají?
