Agregatorul DEX descentralizat on-chain, SwapNet, a suferit un mare exploit de smart contract care a drenat aproape 16,8 milioane de dolari în criptoactive.
Incidentul subliniază riscurile de securitate persistente legate de aprobările de tokenuri și contractele de rutare terță parte în finanțele descentralizate (DeFi).
SwapNet suferă un exploit de 16,8 milioane de dolari
PeckShield a raportat că atacatorul a vizat activitatea legată de SwapNet prin intermediul Matcha Meta, un agregator DEX dezvoltat de echipa de 0x.
În Base Network, atacatorul a schimbat aproximativ 10,5 milioane de dolari în USDC pe aproximativ 3,655 ETH înainte de a transfera fondurile la Ethereum, o tactică comună utilizată pentru a îngreuna urmărirea și recuperarea.
Matcha Meta a explicat că expunerea nu a avut origine în infrastructura sa principală. În schimb, utilizatorii afectați au fost cei care dezactivaseră sistemul de Aprobări Unice (One-Time Approval) de 0x, o funcție de securitate menită să limiteze permisiunile continue ale tokenurilor.
Utilizatorii care au dezactivat această opțiune au acordat aprobări directe contractelor agregatorilor subiacenți, inclusiv router-ului SwapNet, care a devenit în cele din urmă calea atacului.
„Suntem conștienți de un incident cu SwapNet la care utilizatorii ar fi putut fi expuși în Matcha Meta dacă au dezactivat Aprobările Unice”, a declarat Matcha Meta într-un comunicat.
Platforma a confirmat că colaborează cu echipa SwapNet, care a dezactivat temporar contractele afectate în timp ce continuă cercetările.
Ca măsură de precauție, Matcha Meta a cerut utilizatorilor să revoce imediat aprobările pentru agregatorii individuali în afara cadrului de Aprobări Unice de 0x.
Platforma a subliniat că contractul router-ului SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) este cea mai urgentă aprobată care trebuie revocată. Dacă nu se face acest lucru, portofelele pot rămâne expuse chiar și după ce exploatarea a fost conținută.
Compromisuri de securitate în DeFi: conveniență versus securitate în fața creșterii exploiturilor în smart contracts
Incidentul reflectă o veche dilemă în DeFi între confort și securitate. Aprobările Unice necesită ca utilizatorii să aprobe fiecare tranzacție în mod individual, reducând suprafețele de atac persistente. Cu toate acestea, acest lucru face utilizarea mai dificilă pentru comercianții frecvenți.
Aprobările nelimitate, deși mai rapide, oferă smart contracts acces permanent la fondurile utilizatorilor. Dar acest lucru devine periculos dacă acele contracte sunt compromise.
SwapNet nu a publicat încă un raport tehnic complet și nu a indicat dacă va compensa utilizatorii afectați. Până acum, rămân întrebări cu privire la responsabilitate și recuperare.
Lipsa de claritate imediată va crește probabil controlul asupra practicilor de aprobat și integrările agregatorilor în întregul ecosistem DeFi.
Exploit-ul are loc pe fondul unui model mai larg de atacuri asupra smart contracts și incidente de securitate în piața cripto.
În aceeași zi, auditorul de securitate Pashov a detectat o exploatare diferită în mainnet-ul Ethereum care a implicat aproximativ 37 WBTC, evaluat la peste 3,1 milioane de dolari.
Aceasta caz a fost legat de un contract închis și neverificat desfășurat cu doar 41 de zile înainte. Contractul a publicat doar bytecode care nu este lizibil de către oameni, evitând astfel revizuirea publică.
În ansamblu, aceste incidente arată că încă există multe oportunități pentru atacatori în DeFi. Acești factori sunt:
Cod neverificat
Aprobări persistente, și
Straturi de rutare complexe.
În ciuda anilor de auditori și îmbunătățiri de securitate, DeFi continuă să se confrunte cu vulnerabilități structurale. Acest lucru pune responsabilitatea pe dezvoltatori și utilizatori pentru a echilibra utilizabilitatea și gestionarea riscurilor.
