L'aggregatore DEX decentralizzato on-chain, SwapNet, ha subito un grande exploit di smart contract che ha drenato quasi 16,8 milioni di dollari in criptoattivi.
L'incidente evidenzia i rischi di sicurezza persistenti legati alle approvazioni di token e ai contratti di routing di terze parti nelle finanze decentralizzate (DeFi).
SwapNet subisce un exploit di 16,8 milioni di dollari
PeckShield ha riportato che l'attaccante ha mirato all'attività legata a SwapNet attraverso Matcha Meta, un aggregatore DEX sviluppato dal team di 0x.
In Base Network, l'attaccante ha scambiato circa 10,5 milioni di dollari in USDC per circa 3,655 ETH prima di trasferire i fondi a Ethereum, una tattica comune utilizzata per rendere più difficile il tracciamento e il recupero.
Matcha Meta ha spiegato che l'esposizione non è originata nella sua infrastruttura principale. Invece, gli utenti colpiti erano quelli che avevano disattivato il sistema di Approvazione Unica (One-Time Approval) di 0x, una funzione di sicurezza progettata per limitare i permessi continuativi dei token.
Gli utenti che hanno disabilitato questa opzione hanno concesso approvazioni dirette ai contratti degli aggregatori sottostanti, incluso il router di SwapNet, che è diventato la via dell'attacco.
“Siamo a conoscenza di un incidente con SwapNet a cui gli utenti potrebbero essere stati esposti in Matcha Meta se hanno disattivato le Approvazioni Uniche”, ha dichiarato Matcha Meta in un comunicato.
La piattaforma ha confermato di essere in collaborazione con il team di SwapNet, che ha disattivato temporaneamente i contratti interessati mentre le indagini continuano.
Come precauzione, Matcha Meta ha chiesto agli utenti di revocare immediatamente le approvazioni agli aggregatori individuali al di fuori del framework di Approvazione Unica di 0x.
La piattaforma ha evidenziato che il contratto del router di SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) è l'approvazione più urgente da revocare. Se non viene fatto, i portafogli possono rimanere esposti anche dopo che l'exploitation è stata contenuta.
Compromessi di sicurezza in DeFi: comodità vs. sicurezza di fronte all'aumento di exploit nei contratti intelligenti
L'incidente riflette un'antica dicotomia in DeFi tra comodità e sicurezza. Le Approvazioni Uniche richiedono che gli utenti approvino ogni transazione in modo individuale, riducendo le superfici di attacco persistente. Tuttavia, questo rende anche più difficile l'uso per i trader frequenti.
Le approvazioni illimitate, sebbene più veloci, concedono ai contratti intelligenti accesso permanente ai fondi degli utenti. Ma questo diventa pericoloso se quei contratti vengono compromessi.
SwapNet non ha ancora pubblicato un rapporto tecnico completo né ha indicato se risarcirà gli utenti colpiti. Per ora, rimangono dubbi sulla responsabilità e sul recupero.
La mancanza di chiarezza immediata probabilmente aumenterà lo scrutinio sulle pratiche di approvazione e sulle integrazioni degli aggregatori in tutto l'ecosistema DeFi.
L'exploit si verifica nel contesto di un modello più ampio di attacchi ai contratti intelligenti e incidenti di sicurezza nel mercato cripto.
Nello stesso giorno, l'auditor di sicurezza Pashov ha rilevato un exploitation diverso nella mainnet di Ethereum che ha coinvolto circa 37 WBTC, valutati oltre 3,1 milioni di dollari.
Questo caso era legato a un contratto chiuso e non verificato distribuito appena 41 giorni prima. Il contratto ha pubblicato solo bytecode non leggibile dall'uomo, evitando così la revisione pubblica.
Nel complesso, questi incidenti mostrano che ci sono ancora molte opportunità per gli attaccanti in DeFi. Questi fattori sono:
Codice non verificato
Approvazioni persistenti, e
Strati di routing complessi.
Nonostante anni di audit e miglioramenti della sicurezza, DeFi continua a fronteggiare vulnerabilità strutturali. Questo pone la responsabilità sui sviluppatori e sugli utenti per bilanciare usabilità e gestione dei rischi.
