SwapNet, un agregador de intercambio descentralizado, ha perdido aproximadamente 16,8 millones de dólares en activos de criptomonedas después de que atacantes explotaron un contrato de enrutador comprometido al que los usuarios habían otorgado permisos de tokens persistentes desactivando una funcionalidad de seguridad clave.
Lo que sucedió: fallo en un agregador de DEX
La sociedad de seguridad PeckShield informó sobre el ataque, que apuntó a la actividad relacionada con SwapNet accesible a través de Matcha Meta, un meta-agregador de DEX desarrollado por el equipo de 0x. La vulnerabilidad afectó a los usuarios que habían desactivado el sistema de « autorización única » (One-Time Approval) de 0x, otorgando permisos directos a los contratos de agregación subyacentes.
En la red Base, el atacante convirtió aproximadamente 10,5 millones de dólares en USDC (USDC) en aproximadamente 3 655 Ether (ETH) antes de transferir los fondos a Ethereum (ETH).
Esta maniobra es una táctica común utilizada para complicar los esfuerzos de rastreo.
« Somos conscientes de un incidente que involucra a SwapNet al que algunos usuarios de Matcha Meta que han desactivado los permisos únicos pueden haber estado expuestos », dijo Matcha Meta en un comunicado. La plataforma ha identificado el contrato de enrutador de SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) como el permiso más urgente que los usuarios deben revocar.
También: Los fiscales surcoreanos pierden $47 millones en Bitcoin incautado debido a un ataque de phishing
Por qué es importante: vulnerabilidades DeFi persistentes
El incidente destaca una tensión fundamental en las finanzas descentralizadas entre la comodidad y la seguridad. Los permisos únicos requieren que los usuarios validen cada transacción individualmente, lo que reduce la superficie de ataque persistente pero añade fricción para los comerciantes frecuentes. Los permisos ilimitados ofrecen rapidez a costa de un acceso continuo de contratos inteligentes a los fondos de los usuarios.
SwapNet aún no ha publicado un informe técnico post-mortem ni ha indicado si los usuarios afectados serán compensados.
El mismo día, el auditor de seguridad Pashov reportó otra vulnerabilidad en el mainnet de Ethereum que involucra aproximadamente 37 WBTC (WBTC), con un valor de más de 3,1 millones de dólares, relacionada con un contrato cerrado y no verificado desplegado solo 41 días antes.
Hace aproximadamente un mes, la comunidad DeFi fue sorprendida por el hackeo de Trust Wallet.
Trust Wallet confirmó que aproximadamente $7 millones en criptomonedas fueron robados a través de una actualización comprometida de la extensión del navegador. La vulnerabilidad solo afectó a la versión 2.68 de la extensión Chrome, publicada el 24 de diciembre. Afortunadamente, los usuarios de la aplicación móvil no fueron afectados. Changpeng Zhao, fundador de Binance, propietario de Trust Wallet, declaró que la billetera indemnizaría a todos los usuarios afectados.
A continuación: ¿Por qué las ballenas compran Seeker mientras el dinero inteligente vende?
