On-chain desentralisert børs (DEX) aggregator, SwapNet, har blitt utsatt for et alvorlig smart kontrakt-angrep som tappet nesten $ 16,8 millioner i kryptoaktiva.
Hendelsen fremhever vedvarende sikkerhetsrisikoer knyttet til token-godkjenninger og tredjeparts rutingskontrakter i desentralisert finans (DeFi).
On-chain DEX-aggregator SwapNet rammes av $ 16,8 millioner hack
PeckShield rapporterte at angriperen rettet seg mot SwapNet-tilknyttet aktivitet tilgjengelig via Matcha Meta, en meta DEX-aggregator utviklet av 0x-teamet.
På Base-nettverket vekslet angriperen omtrent $ 10,5 millioner i USDC til rundt 3 655 ETH før vedkommende broet midlene til Ethereum, en vanlig taktikk for å gjøre sporing og inndrivning mer komplisert.
Matcha Meta uttalte at eksponeringen ikke stammet fra kjerneinfrastrukturen deres. I stedet var det de brukerne som hadde slått av 0x sitt One-Time Approval-system, en sikkerhetsfunksjon som er designet for å begrense vedvarende token-tillatelser, som var berørt.
Brukere som deaktiverte dette alternativet, ga direkte godkjenning til underliggende aggregator-kontrakter, inkludert SwapNets router, som til slutt ble angrepsvektoren.
“Vi er klar over en hendelse med SwapNet som brukere kan ha blitt utsatt for på Matcha Meta for dem som hadde slått av One-Time Approvals,” uttalte Matcha Meta i en uttalelse.
Plattformen bekreftet at de samarbeider med SwapNet-teamet, som midlertidig har deaktivert de berørte kontraktene mens undersøkelsen pågår.
Som et forebyggende tiltak oppfordret Matcha Meta brukere til å umiddelbart oppheve tillatelser til individuelle aggregatorer utenfor 0x sitt One-Time Approval-rammeverk.
Plattformen fremhevet SwapNets router-kontrakt (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) som den mest presserende godkjenningen å trekke tilbake. Unnlatelse av å gjøre dette kan føre til at lommebøker fortsatt er utsatt selv etter at angrepet er stoppet.
DeFi sine sikkerhetsavveininger: Brukervennlighet vs. sikkerhet blant økende smartkontrakt-angrep
Hendelsen viser til en langvarig avveining i DeFi mellom bekvemmelighet og sikkerhet. One-Time Approvals krever at brukere godkjenner hver transaksjon individuelt, noe som reduserer vedvarende angrepsflater. Dette gir derimot mer friksjon for tradere som handler ofte.
Ubegrensede godkjenninger, selv om det er raskere, gir smartkontrakter vedvarende tilgang til brukernes midler. Dette blir derimot ekstra risikabelt når slike kontrakter blir kompromittert.
SwapNet har foreløpig ikke publisert en full teknisk redegjørelse eller indikert om berørte brukere vil bli kompensert. Dette etterlater åpne spørsmål om ansvar og mulighet for oppgang.
Mangelen på umiddelbar klarhet fører sannsynligvis til økt gransking av godkjenningspraksis og aggregator-integrasjoner over hele DeFi-økosystemet.
Nytt Ethereum-utnyttelse fremhever risikoen med uverifiserte, lukket kildekode-kontrakter
Angrepet kommer samtidig som et mønster av smart kontrakt-angrep og sikkerhetshendelser i kryptomarkedet.
Samme dag varslet sikkerhetsrevisoren Pashov om et separat angrep på Ethereum mainnet som omfatter omtrent 37 WBTC, til en verdi av over $ 3,1 millioner.
Dette ble knyttet til en lukket, uverifisert kontrakt som ble distribuert bare 41 dager tidligere. Kontrakten publiserte kun ikke-menneskelesbar bytekode og hindret offentlig gjennomgang.
Sammen viser disse hendelsene hvor mange muligheter angripere har i DeFi. Disse er:
- Uverifisert kode
- Vedvarende godkjenninger, og
- Komplekse rutingslag.
Til tross for flere år med revisjoner og forbedringer på sikkerhet, sliter DeFi fortsatt med strukturelle sårbarheter. Dette gjør at både utviklere og brukere må balansere brukervennlighet med risikohåndtering.
