SwapNet, un agregator de schimb descentralizat, a pierdut aproximativ 16,8 milioane de dolari în active criptomonede după ce atacatorii au exploatat un contract de router compromis la care utilizatorii au acordat permisiuni persistente de token prin dezactivarea unei funcționalități cheie de securitate.
Ce s-a întâmplat: vulnerabilitate pe un agregator de DEX
Compania de securitate PeckShield a raportat atacul, care a vizat activitatea legată de SwapNet accesibilă prin Matcha Meta, un meta-aggregator de DEX dezvoltat de echipa 0x. Vulnerabilitatea a afectat utilizatorii care dezactivaseră sistemul de „aprobat unic” (One-Time Approval) de 0x, acordând permisiuni directe contractelor de agregare subiacente.
Pe rețeaua Base, atacatorul a convertit aproximativ 10,5 milioane de dolari în USDC (USDC) în aproximativ 3 655 Ether (ETH) înainte de a transfera fondurile către Ethereum (ETH).
Această manevră este o tactică comună folosită pentru a complica eforturile de urmărire.
„Suntem conștienți de un incident implicând SwapNet la care unii utilizatori ai Matcha Meta care au dezactivat permisiunile unice ar fi putut fi expuși”, a declarat Matcha Meta într-un comunicat. Platforma a identificat contractul de router al SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) ca fiind cea mai urgentă permisiune pe care utilizatorii trebuie să o revoc.
De citit de asemenea: Procurorii sud-coreeni pierd 47 milioane de dolari în Bitcoin confiscat din cauza unui atac de phishing
De ce este important: vulnerabilități DeFi persistente
Incidentul evidențiază o tensiune fundamentală în finanțele descentralizate între comoditate și securitate. Permisiunile unice obligă utilizatorii să valideze fiecare tranzacție individual, ceea ce reduce suprafața de atac persistentă, dar adaugă fricțiune pentru comercianții frecvenți. Permisiunile nelimitate oferă rapiditate în schimbul unui acces continuu al contractelor inteligente la fondurile utilizatorilor.
SwapNet nu a publicat încă un raport tehnic post-mortem și nu a indicat dacă utilizatorii afectați vor fi despăgubiți.
În aceeași zi, auditorul de securitate Pashov a raportat o altă vulnerabilitate pe mainnet Ethereum implicând aproximativ 37 WBTC (WBTC), în valoare de peste 3,1 milioane de dolari, legată de un contract închis și neverificat desfășurat cu doar 41 de zile mai devreme.
Acum aproximativ o lună, comunitatea DeFi a fost șocată de hacking-ul Trust Wallet.
Trust Wallet a confirmat că aproximativ 7 milioane de dolari în criptomonede au fost furați printr-o actualizare compromisă a extensiei de browser. Vulnerabilitatea a afectat doar versiunea 2.68 a extensiei Chrome, publicată pe 24 decembrie. Din fericire, utilizatorii aplicației mobile nu au fost afectați. Changpeng Zhao, fondatorul Binance, proprietarul Trust Wallet, a declarat că portofelul va despăgubi toți utilizatorii afectați.
De citit următorul: De ce cumpără balenele Seeker în timp ce banii inteligenți vând?
