SwapNet, zdecentralizowany agregator wymiany, stracił około 16,8 miliona dolarów aktywów w kryptowalutach po tym, jak napastnicy wykorzystali skompromitowany kontrakt routera, do którego użytkownicy przyznali uprawnienia do tokenów poprzez wyłączenie kluczowej funkcji zabezpieczeń.
Co się stało: luka w agregatorze DEX
Firma zajmująca się bezpieczeństwem PeckShield zgłosiła atak, który miał na celu działalność związaną z SwapNet dostępną przez Matcha Meta, meta-agregator DEX opracowany przez zespół 0x. Wrażliwość dotknęła użytkowników, którzy wyłączyli system „jednorazowego zezwolenia” (One-Time Approval) 0x, przyznając bezpośrednie uprawnienia do podstawowych kontraktów agregacyjnych.
Na sieci Base, napastnik przekształcił około 10,5 miliona dolarów w USDC (USDC) na około 3 655 Ether (ETH) przed przelaniem środków na Ethereum (ETH).
Ta manewra jest powszechną taktyką stosowaną w celu skomplikowania wysiłków w zakresie śledzenia.
„Jesteśmy świadomi incydentu związanego z SwapNet, któremu niektórzy użytkownicy Matcha Meta, którzy wyłączyli pojedyncze uprawnienia, mogli być narażeni”, powiedział Matcha Meta w oświadczeniu. Platforma zidentyfikowała kontrakt routera SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) jako najbardziej pilne uprawnienie, które użytkownicy powinni cofnąć.
Do przeczytania także: Południowokoreańscy prokuratorzy tracą 47 milionów dolarów skonfiskowanej kryptowaluty Bitcoin w wyniku ataku phishingowego
Dlaczego to ważne: utrzymujące się luki w DeFi
Incydent uwypukla fundamentalne napięcie w finansach zdecentralizowanych między wygodą a bezpieczeństwem. Pojedyncze uprawnienia zmuszają użytkowników do walidacji każdej transakcji indywidualnie, co zmniejsza powierzchnię ataku, ale zwiększa opór dla częstych traderów. Nielimitowane uprawnienia oferują szybkość kosztem ciągłego dostępu inteligentnych kontraktów do funduszy użytkowników.
SwapNet jeszcze nie opublikował raportu technicznego po incydencie ani nie wskazał, czy dotknięci użytkownicy zostaną odszkodowani.
Tego samego dnia audytor bezpieczeństwa Pashov zgłosił kolejną lukę w sieci Ethereum, dotyczącą około 37 WBTC (WBTC), o wartości ponad 3,1 miliona dolarów, związanej z zamkniętym i niezweryfikowanym kontraktem wdrożonym zaledwie 41 dni temu.
Około miesiąc temu społeczność DeFi była zszokowana hackiem Trust Wallet.
Trust Wallet potwierdził, że około 7 milionów dolarów w kryptowalutach zostało skradzionych za pomocą kompromitującej aktualizacji rozszerzenia przeglądarki. Luka dotknęła wyłącznie wersji 2.68 rozszerzenia Chrome, opublikowanej 24 grudnia. Na szczęście użytkownicy aplikacji mobilnej nie zostali dotknięci. Changpeng Zhao, założyciel Binance, właściciela Trust Wallet, powiedział, że portfel zrekompensuje wszystkim dotkniętym użytkownikom.
Do przeczytania następnie: Dlaczego wieloryby kupują Seeker, podczas gdy mądre pieniądze sprzedają?
