SwapNet, um agregador de troca descentralizado, perdeu cerca de 16,8 milhões de dólares em ativos de criptomoedas após atacantes explorarem um contrato de roteador comprometido ao qual os usuários haviam concedido permissões de tokens persistentes ao desativar uma funcionalidade de segurança chave.
O que aconteceu: falha em um agregador de DEX
A empresa de segurança PeckShield relatou o ataque, que visou a atividade relacionada ao SwapNet acessível via Matcha Meta, um meta-agregador de DEX desenvolvido pela equipe de 0x. A vulnerabilidade afetou os usuários que desativaram o sistema de 'autorização única' (One-Time Approval) de 0x, concedendo permissões diretas aos contratos de agregação subjacentes.
Na rede Base, o atacante converteu cerca de 10,5 milhões de dólares em USDC (USDC) em aproximadamente 3 655 Ether (ETH) antes de transferir os fundos para Ethereum (ETH).
Essa manobra é uma tática comum usada para complicar os esforços de rastreamento.
“Estamos cientes de um incidente envolvendo o SwapNet ao qual alguns usuários do Matcha Meta que desativaram as autorizações únicas podem ter sido expostos”, disse o Matcha Meta em um comunicado. A plataforma identificou o contrato do roteador do SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) como a autorização mais urgente que os usuários devem revogar.
Para ler também: Promotores Sul-Coreanos Perdem $47M em Bitcoin Apreendido Para Ataque de Phishing
Por que isso é importante: vulnerabilidades DeFi persistentes
O incidente destaca uma tensão fundamental nas finanças descentralizadas entre conveniência e segurança. As autorizações únicas obrigam os usuários a validar cada transação individualmente, o que reduz a superfície de ataque persistente, mas adiciona atrito para os traders frequentes. Autorizações ilimitadas oferecem rapidez à custa de acesso contínuo dos contratos inteligentes aos fundos dos usuários.
SwapNet ainda não publicou um relatório técnico pós-morte nem indicou se os usuários afetados serão compensados.
No mesmo dia, o auditor de segurança Pashov relatou outra falha na mainnet Ethereum envolvendo aproximadamente 37 WBTC (WBTC), no valor de mais de 3,1 milhões de dólares, relacionada a um contrato fechado e não verificado implantado apenas 41 dias antes.
Há cerca de um mês, a comunidade DeFi ficou chocada com o hack do Trust Wallet.
O Trust Wallet confirmou que aproximadamente $7 milhões em criptomoeda foram roubados através de uma atualização comprometida da extensão do navegador. A falha afetou exclusivamente a versão 2.68 da extensão Chrome, publicada em 24 de dezembro. Felizmente, os usuários do aplicativo móvel não foram afetados. Changpeng Zhao, fundador da Binance, proprietária do Trust Wallet, afirmou que a carteira indenizaria todos os usuários afetados.
Para ler em seguida: Por que as baleias estão comprando Seeker enquanto o dinheiro inteligente vende?
