SwapNet, ein dezentraler Austauschaggregator, hat etwa 16,8 Millionen Dollar an Krypto-Assets verloren, nachdem Angreifer einen kompromittierten Routervertrag ausgenutzt hatten, dem die Benutzer persistente Token-Berechtigungen gewährt hatten, indem sie eine wichtige Sicherheitsfunktion deaktivierten.
Was passiert ist: Schwachstelle bei einem DEX-Aggregator
Die Sicherheitsgesellschaft PeckShield berichtete über den Angriff, der die mit SwapNet verbundene Aktivität anvisierte, die über Matcha Meta zugänglich ist, einen Meta-Aggregator von DEX, der vom 0x-Team entwickelt wurde. Die Schwachstelle betraf die Benutzer, die das System der „Einmalgenehmigung“ (One-Time Approval) von 0x deaktiviert hatten und direkten Zugriff auf die zugrunde liegenden Aggregationsverträge gewährten.
Im Base-Netzwerk hat der Angreifer etwa 10,5 Millionen Dollar in USDC (USDC) in ungefähr 3.655 Ether (ETH) umgewandelt, bevor er die Mittel nach Ethereum (ETH) transferierte.
Dieser Trick ist eine gängige Taktik, die verwendet wird, um die Nachverfolgungsbemühungen zu komplizieren.
„Wir sind uns eines Vorfalls bewusst, der SwapNet betrifft, bei dem einige Nutzer von Matcha Meta, die die Einmalgenehmigungen deaktiviert hatten, möglicherweise exponiert wurden“, erklärte Matcha Meta in einer Mitteilung. Die Plattform identifizierte den Router-Vertrag von SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) als die dringendste Genehmigung, die die Nutzer widerrufen sollten.
Ebenfalls zu lesen: Südkoreanische Staatsanwälte verlieren 47 Millionen Dollar an beschlagnahmtem Bitcoin durch Phishing-Angriff
Warum das wichtig ist: Anhaltende DeFi-Schwachstellen
Der Vorfall hebt eine fundamentale Spannung in der dezentralen Finanzen zwischen Bequemlichkeit und Sicherheit hervor. Die Einmalgenehmigungen zwingen die Nutzer, jede Transaktion einzeln zu validieren, was die dauerhafte Angriffsfläche verringert, aber Friktionen für häufige Händler hinzufügt. Unbegrenzte Genehmigungen bieten Schnelligkeit auf Kosten eines kontinuierlichen Zugriffs von Smart Contracts auf die Mittel der Nutzer.
SwapNet hat noch keinen technischen Nachbericht veröffentlicht und nicht angegeben, ob die betroffenen Nutzer entschädigt werden.
Am selben Tag berichtete der Sicherheitsprüfer Pashov von einer weiteren Schwachstelle im Ethereum-Mainnet, die etwa 37 WBTC (WBTC) betraf, im Wert von über 3,1 Millionen Dollar, die mit einem geschlossenen und nicht verifizierten Vertrag verbunden waren, der erst 41 Tage zuvor bereitgestellt wurde.
Vor etwa einem Monat wurde die DeFi-Community durch den Hack von Trust Wallet schockiert.
Trust Wallet bestätigte, dass etwa 7 Millionen Dollar in Kryptowährung durch ein kompromittiertes Update der Browsererweiterung gestohlen wurden. Die Schwachstelle betraf ausschließlich die Version 2.68 der Chrome-Erweiterung, die am 24. Dezember veröffentlicht wurde. Glücklicherweise waren die Nutzer der mobilen Anwendung nicht betroffen. Changpeng Zhao, Gründer von Binance, dem Eigentümer von Trust Wallet, erklärte, dass die Wallet alle betroffenen Nutzer entschädigen würde.
Als Nächstes lesen: Warum kaufen Wale Seeker, während kluge Investoren verkaufen?
