Decentralizovaný agregátor DEX on-chain, SwapNet, utrpěl velký exploit smart kontraktu, který odčerpal téměř 16,8 milionu dolarů v kryptoaktivech.
Incident zdůrazňuje trvalá bezpečnostní rizika spojená se schváleními tokenů a třetími stranami směrovacími kontrakty v decentralizovaných financích (DeFi).
SwapNet utrpěl exploit ve výši 16,8 milionu dolarů.
PeckShield informoval, že útočník se zaměřil na činnost spojenou se SwapNet prostřednictvím Matcha Meta, agregátoru DEX vyvinutého týmem 0x.
Na Base Network útočník vyměnil přibližně 10,5 milionu dolarů v USDC za přibližně 3,655 ETH předtím, než převedl prostředky na Ethereum, což je běžná taktika používaná k ztížení sledování a obnovy.
Matcha Meta vysvětlil, že expozice nevznikla v jejich hlavní infrastruktuře. Naopak, postižení uživatelé byli ti, kteří deaktivovali systém Jednorázového Schválení (One-Time Approval) od 0x, což je bezpečnostní funkce navržená k omezení trvalých povolení tokenů.
Uživatelé, kteří tuto možnost deaktivovali, udělili přímá schválení podkladovým kontraktům agregátorů, včetně routeru SwapNet, který se nakonec stal cestou útoku.
„Jsme si vědomi incidentu se SwapNet, kterému mohli být uživatelé vystaveni na Matcha Meta, pokud deaktivovali Jednotlivé Schválení,“ uvedl Matcha Meta ve svém prohlášení.
Platforma potvrdila, že spolupracuje s týmem SwapNet, který dočasně deaktivoval postižené kontrakty, zatímco pokračují vyšetřování.
Jako opatření požádal Matcha Meta uživatele, aby okamžitě zrušili schválení jednotlivým agregátorům mimo rámec Jednorázového Schválení od 0x.
Platforma zdůraznila, že kontrakt routeru SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) je nejurgentnější schválení, které je třeba zrušit. Pokud se tak nestane, peněženky mohou zůstat vystaveny i po omezení exploitace.
Bezpečnostní kompromisy v DeFi: pohodlí vs. bezpečnost vzhledem k nárůstu exploitů ve smart kontraktech.
Incident odráží starou dilema v DeFi mezi pohodlím a bezpečností. Jednotlivá schválení vyžadují, aby uživatelé schvalovali každou transakci jednotlivě, což snižuje trvalé plochy útoku. To však také ztěžuje používání pro časté obchodníky.
Neomezená schválení, ačkoli rychlejší, dávají smart kontraktům trvalý přístup k prostředkům uživatelů. To se však stává nebezpečným, pokud jsou tyto kontrakty zranitelné.
SwapNet dosud nezveřejnil úplnou technickou zprávu ani neoznámil, zda nahradí postižené uživatele. Prozatím zůstávají nejasnosti ohledně odpovědnosti a obnovy.
Nedostatek okamžité jasnosti pravděpodobně zvýší dohled nad praktikami schvalování a integracemi agregátorů v celém ekosystému DeFi.
Exploit se vyskytuje uprostřed širšího vzoru útoků na smart kontrakty a bezpečnostních incidentů na kryptoměnovém trhu.
Téhož dne bezpečnostní auditor Pashov odhalil jiný exploit na mainnetu Ethereum, který zahrnoval přibližně 37 WBTC, oceněných na více než 3,1 milionu dolarů.
Tento případ byl spojen s uzavřeným a neověřeným kontraktem, který byl nasazen pouze 41 dní předtím. Kontrakt publikoval pouze bytecode, který není čitelný pro lidi, čímž se vyhnul veřejnému přezkumu.
V souhrnu tyto incidenty ukazují, že v DeFi stále existuje mnoho příležitostí pro útočníky. Tyto faktory jsou:
Neověřený kód
Trvalá schválení, a
Složitě vrstvené směrování.
Navzdory letům auditů a zlepšení bezpečnosti se DeFi stále potýká se strukturálními zranitelnostmi. To klade odpovědnost na vývojáře a uživatele, aby vyvážili použitelnost a řízení rizik.
