Der dezentrale On-Chain DEX-Aggregator SwapNet hat einen großen Smart-Contract-Exploits erlitten, der fast 16,8 Millionen Dollar an Krypto-Assets abgezogen hat.
Der Vorfall hebt die anhaltenden Sicherheitsrisiken im Zusammenhang mit Token-Genehmigungen und Drittanbieter-Routing-Verträgen in der dezentralen Finanzen (DeFi) hervor.
SwapNet erleidet einen Exploit von 16,8 Millionen Dollar
PeckShield berichtete, dass der Angreifer sich auf die mit SwapNet verbundene Aktivität über Matcha Meta, einen von dem Team von 0x entwickelten DEX-Aggregator, konzentrierte.
Im Base Network tauschte der Angreifer etwa 10,5 Millionen Dollar in USDC gegen etwa 3,655 ETH, bevor er die Mittel nach Ethereum übertrug, eine gängige Taktik, um die Verfolgung und Wiederherstellung zu erschweren.
Matcha Meta erklärte, dass die Exposition nicht aus ihrer Hauptinfrastruktur stammte. Stattdessen waren die betroffenen Benutzer diejenigen, die das Einmalgenehmigungssystem (One-Time Approval) von 0x deaktiviert hatten, eine Sicherheitsfunktion, die darauf abzielt, die fortlaufenden Berechtigungen der Token zu begrenzen.
Benutzer, die diese Option deaktiviert haben, gaben direkten Zugang zu den Verträgen der zugrunde liegenden Aggregatoren, einschließlich des Routers von SwapNet, was schließlich den Angriff ermöglichte.
“Wir sind über einen Vorfall mit SwapNet informiert, bei dem Benutzer möglicherweise in Matcha Meta exponiert waren, wenn sie die Einmalgenehmigungen deaktiviert haben”, erklärte Matcha Meta in einer Mitteilung.
Die Plattform bestätigte, dass sie mit dem Team von SwapNet zusammenarbeitet, das die betroffenen Verträge vorübergehend deaktiviert hat, während die Ermittlungen fortgesetzt werden.
Als Vorsichtsmaßnahme forderte Matcha Meta die Benutzer auf, die Genehmigungen für einzelne Aggregatoren außerhalb des Einmalgenehmigungsrahmens von 0x sofort zu widerrufen.
Die Plattform hob hervor, dass der Vertrag des Routers von SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) die dringendste Genehmigung ist, die widerrufen werden muss. Wenn dies nicht geschieht, können Wallets selbst nach einer Eindämmung der Ausbeutung exponiert bleiben.
Sicherheitskompromisse in DeFi: Bequemlichkeit vs. Sicherheit angesichts des Anstiegs von Exploits in Smart Contracts
Der Vorfall spiegelt ein altes Dilemma im DeFi zwischen Komfort und Sicherheit wider. Einmalgenehmigungen erfordern, dass Benutzer jede Transaktion einzeln genehmigen, wodurch die Angriffsflächen verringert werden. Dies erschwert jedoch auch die Nutzung für häufige Trader.
Unbegrenzte Genehmigungen, obwohl schneller, gewähren den Smart Contracts dauerhaften Zugriff auf die Gelder der Benutzer. Aber dies wird gefährlich, wenn diese Verträge kompromittiert werden.
SwapNet hat bisher keinen vollständigen technischen Bericht veröffentlicht und nicht angegeben, ob die betroffenen Benutzer entschädigt werden. Derzeit gibt es Zweifel an der Verantwortung und der Wiederherstellung.
Der Mangel an sofortiger Klarheit wird wahrscheinlich die Prüfung der Genehmigungspraktiken und der Aggregator-Integrationen im gesamten DeFi-Ökosystem erhöhen.
Der Exploit tritt vor dem Hintergrund eines breiteren Musters von Angriffen auf Smart Contracts und Sicherheitsvorfällen im Krypto-Markt auf.
Am selben Tag entdeckte der Sicherheitsprüfer Pashov einen anderen Exploit im Ethereum-Mainnet, der etwa 37 WBTC betraf, die über 3,1 Millionen Dollar wert waren.
Dieser Fall war mit einem geschlossenen und nicht verifizierten Vertrag verbunden, der erst 41 Tage zuvor bereitgestellt wurde. Der Vertrag veröffentlichte nur nicht lesbaren Bytecode, wodurch eine öffentliche Überprüfung vermieden wurde.
Insgesamt zeigen diese Vorfälle, dass es immer noch viele Möglichkeiten für Angreifer im DeFi gibt. Diese Faktoren sind:
Nicht verifiziertes Code
Persistente Genehmigungen, und
Komplexe Routing-Schichten.
Trotz jahrelanger Prüfungen und Sicherheitsverbesserungen sieht sich DeFi weiterhin strukturellen Schwachstellen gegenüber. Dies legt die Verantwortung auf die Entwickler und Benutzer, Usability und Risikomanagement in Einklang zu bringen.
