SwapNet, un aggregatore di scambio decentralizzato, ha perso circa 16,8 milioni di dollari di asset in criptovalute dopo che degli attaccanti hanno sfruttato un contratto di router compromesso al quale gli utenti avevano concesso autorizzazioni di token persistenti disattivando una funzionalità di sicurezza chiave.
Cosa è successo: vulnerabilità su un aggregatore di DEX
La società di sicurezza PeckShield ha segnalato l’attacco, che ha colpito l’attività legata a SwapNet accessibile tramite Matcha Meta, un meta-aggregatore di DEX sviluppato dal team di 0x. La vulnerabilità ha colpito gli utenti che avevano disattivato il sistema di « autorizzazione unica » (One-Time Approval) di 0x, concedendo permessi diretti ai contratti di aggregazione sottostanti.
Sulla rete Base, l’attaccante ha convertito circa 10,5 milioni di dollari in USDC (USDC) in approssimativamente 3 655 Ether (ETH) prima di trasferire i fondi su Ethereum (ETH).
Questa manovra è una tattica comune utilizzata per complicare gli sforzi di tracciamento.
« Siamo a conoscenza di un incidente che coinvolge SwapNet al quale alcuni utenti di Matcha Meta che hanno disattivato le autorizzazioni uniche potrebbero essere stati esposti », ha dichiarato Matcha Meta in un comunicato. La piattaforma ha identificato il contratto di router di SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) come l’autorizzazione più urgente che gli utenti devono revocare.
Da leggere anche: I pubblici ministeri sudcoreani perdono 47 milioni di dollari in Bitcoin sequestrati a causa di un attacco di phishing
Perché è importante: vulnerabilità DeFi persistenti
L’incidente mette in evidenza una tensione fondamentale nella finanza decentralizzata tra comodità e sicurezza. Le autorizzazioni uniche obbligano gli utenti a convalidare ogni transazione singolarmente, riducendo così la superficie d’attacco persistente ma aggiungendo attrito per i trader frequenti. Le autorizzazioni illimitate offrono rapidità a costo di un accesso continuo dei contratti intelligenti ai fondi degli utenti.
SwapNet non ha ancora pubblicato un rapporto tecnico post-mortem né indicato se gli utenti colpiti saranno risarciti.
Nello stesso giorno, l’auditor di sicurezza Pashov ha segnalato un'altra vulnerabilità sul mainnet Ethereum che coinvolgeva circa 37 WBTC (WBTC), del valore di oltre 3,1 milioni di dollari, legata a un contratto chiuso e non verificato distribuito solo 41 giorni prima.
Circa un mese fa, la comunità DeFi è rimasta scioccata dall’hacking di Trust Wallet.
Trust Wallet ha confermato che circa 7 milioni di dollari in criptovaluta sono stati rubati tramite un aggiornamento compromesso dell'estensione del browser. La vulnerabilità ha colpito unicamente la versione 2.68 dell'estensione Chrome, pubblicata il 24 dicembre. Fortunatamente, gli utenti dell'app mobile non sono stati colpiti. Changpeng Zhao, fondatore di Binance, proprietario di Trust Wallet, ha dichiarato che il portafoglio risarcirà tutti gli utenti coinvolti.
Da leggere dopo: Perché le balene stanno acquistando Seeker mentre il denaro intelligente vende?
