Zdecentralizowany agregator DEX on-chain, SwapNet, przeszedł poważny atak na smart kontrakt, który wyczerpał prawie 16,8 miliona dolarów w kryptowalutach.
Incydent podkreśla trwałe ryzyko bezpieczeństwa związane z zatwierdzeniami tokenów i kontraktami routingu stron trzecich w finansach zdecentralizowanych (DeFi).
SwapNet cierpi na atak o wartości 16,8 miliona dolarów
PeckShield poinformował, że napastnik skierował się na aktywność związaną z SwapNet za pośrednictwem Matcha Meta, agregatora DEX opracowanego przez zespół 0x.
W Base Network napastnik wymienił około 10,5 miliona dolarów w USDC na około 3,655 ETH, zanim przekazał fundusze do Ethereum, co jest powszechną taktyką stosowaną w celu utrudnienia śledzenia i odzyskiwania.
Matcha Meta wyjaśniło, że narażenie nie miało miejsca w ich głównej infrastrukturze. Zamiast tego, dotknięty użytkownicy to ci, którzy wyłączyli system Aprobacji Jednorazowej (One-Time Approval) 0x, funkcję bezpieczeństwa zaprojektowaną w celu ograniczenia ciągłych uprawnień tokenów.
Użytkownicy, którzy wyłączyli tę opcję, przyznali bezpośrednie aprobaty dla kontraktów podstawowych agregatorów, w tym routera SwapNet, który ostatecznie stał się drogą ataku.
„Jesteśmy świadomi incydentu z SwapNet, na który użytkownicy mogli być narażeni w Matcha Meta, jeśli wyłączyli Aprobacje Jednorazowe”, oświadczyło Matcha Meta w komunikacie.
Platforma potwierdziła, że współpracuje z zespołem SwapNet, który tymczasowo wyłączył dotknięte kontrakty, podczas gdy trwają badania.
Jako środek ostrożności, Matcha Meta poprosiło użytkowników o natychmiastowe cofnięcie aprobat do poszczególnych agregatorów poza ramami Aprobacji Jednorazowej 0x.
Platforma podkreśliła, że kontrakt routera SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) jest najpilniejszą aprobatą, którą należy cofnąć. Jeśli tego nie zrobią, portfele mogą pozostać narażone nawet po opanowaniu eksploatacji.
Zagrożenia bezpieczeństwa w DeFi: wygoda kontra bezpieczeństwo w obliczu wzrostu eksploatacji smart kontraktów
Incydent odzwierciedla starą dylemat w DeFi między wygodą a bezpieczeństwem. Aprobacje Jednorazowe wymagają, aby użytkownicy zatwierdzali każdą transakcję indywidualnie, zmniejszając w ten sposób powierzchnie ataku. Jednak to także utrudnia korzystanie z platformy dla częstych traderów.
Nielimitowane aprobaty, choć szybsze, dają smart kontraktom stały dostęp do funduszy użytkowników. Ale to staje się niebezpieczne, jeśli te kontrakty są naruszone.
SwapNet nie opublikował jeszcze pełnego raportu technicznego ani nie wskazał, czy zrekompensuje użytkownikom dotkniętym incydentem. Na razie pozostają wątpliwości co do odpowiedzialności i odzyskiwania.
Brak natychmiastowej klarowności prawdopodobnie zwiększy kontrolę nad praktykami aprobaty i integracjami agregatorów w całym ekosystemie DeFi.
Eksploatacja występuje w kontekście szerszego wzorca ataków na smart kontrakty i incydentów bezpieczeństwa na rynku kryptowalut.
Tego samego dnia audytor bezpieczeństwa Pashov wykrył różną eksploatację w mainnecie Ethereum, która obejmowała około 37 WBTC, wartą ponad 3,1 miliona dolarów.
Ten przypadek był związany z zamkniętym i niezweryfikowanym kontraktem, który został wdrożony zaledwie 41 dni temu. Kontrakt opublikował tylko nieczytelny dla ludzi bytecode, unikając w ten sposób przeglądu publicznego.
W sumie te incydenty pokazują, że w DeFi wciąż istnieje wiele możliwości dla atakujących. Te czynniki to:
Niezweryfikowany kod
Utrzymujące się aprobaty, oraz
Złożone warstwy routingu.
Pomimo lat audytów i ulepszeń bezpieczeństwa, DeFi wciąż boryka się z lukami strukturalnymi. To stawia odpowiedzialność na programistach i użytkownikach, aby zrównoważyć użyteczność i zarządzanie ryzykiem.
