Beli Kripto Pasaran Spot Niaga hadapanGOLD Peroleh Acara

Lagi

Matcha Meta mendedahkan pelanggaran keselamatan berkaitan SwapNet yang menyebabkan kebocoran kira-kira $16.8 juta selepas penyerang menyalahgunakan kelulusan token langsung./Matcha Meta mendedahkan pelanggaran keselamatan berkaitan SwapNet yang menyebabkan kebocoran kira-kira $16.8 juta selepas penyerang menyalahgunakan kelulusan token langsung./

Matcha Meta mengesahkan penggodaman selepas kerugian $16.8 juta/

Pengarang: Cryptopolitan

Sumber: Cryptopolitan

2026/01/26 17:30

Kongsi

Platform penggabungan swap dan bridge yang dibangun oleh 0x, Matcha Meta, telah kehilangan aset digital sebanyak $16.8 juta akibat pelanggaran keselamatan SwapNet, menurut platform keselamatan Web3 PeckShield.

Matcha Meta pada hari Isnin mendedahkan bahawa ia mengalami eksploitasi keselamatan pada hujung minggu, di mana penyerang memperdaya token daripada agregator luaran yang terintegrasi dalam antara muka Matcha Meta yang dinamakan SwapNet. Platform tersebut menyatakan bahawa pengguna yang mematikan ciri "Persetujuan Sekali Sahaja" dan memberikan kebenaran token secara langsung kepada setiap agregator berisiko kehilangan dana mereka.

Dalam kenyataan agregator swap di X, MM berkata bahawa ia menyedari aktiviti mencurigakan selepas rekod pergerakan token besar-besaran tanpa kebenaran daripada kontrak router SwapNet muncul dalam rekod transaksi. Platform tersebut mengesahkan bahawa ia telah menghubungi pasukan SwapNet, yang "sementara mengehadkan kontraknya" bagi mengelakkan kerugian lebih lanjut.

Penggodam Matcha Meta menukar 3,000 keping Ether daripada mangsa

Menurut firma keselamatan blockchain PeckShield, penyerang mengeksploitasi kebenaran token dan pertukaran untuk mengekstrak dana. Mereka memindahkan kira-kira 10.5 juta USDC daripada alamat mangsa di Base, sebuah blockchain Ether layer-2, kemudian menukar stablecoin tersebut kepada 3,655 Ether, menyatukan nilai ke dalam aset yang lebih likuid.

Selepas menyelesaikan pertukaran, penyerang mula memindahkan Ether dari Base ke rangkaian utama Ethereum bagi menyembunyikan jejak transaksi. Pemindahan bridging adalah proses pemindahan aset antara blockchain menggunakan kontrak pintar atau protokol perantara. Walaupun ia dianggap "sah" dalam kebanyakan kes, penggodam menggunakannya kerana ia menjadikan operasi mereka sukar dilacak.

Pelaku sebelum ini telah memberikan kebenaran token untuk memindahkan dana tanpa tanda tangan pengguna, yang memberi kebenaran kepada kontrak pintar untuk membelanjakan token mereka. Jika kebenaran ditetapkan tanpa had, kontrak yang berniat jahat atau dicuri boleh mengekstrak dana sehingga baki habis.

Matcha Meta berkata bahawa pengguna yang berinteraksi dengan platform menggunakan sistem Persetujuan Sekali Sahaja tidak terjejas. Ciri tersebut mengarahkan kebenaran token melalui kontrak AllowanceHolder dan Settler milik 0x, membataskan risiko pedagang dengan memberikan kebenaran untuk satu transaksi sahaja.

“Selepas mengkaji bersama pasukan protokol 0x, kami telah mengesahkan bahawa insiden tersebut tidak berkaitan dengan kontrak AllowanceHolder atau Settler milik 0x,” tulis Matcha Meta di X kemudian. Syarikat itu menambah bahawa pengguna yang mematikan Persetujuan Sekali Sahaja dan menetapkan kebenaran secara langsung pada kontrak agregator “mengambil risiko daripada setiap agregator.”

Platform pertukaran DEX telah mengeluarkan fungsi bagi pengguna untuk menetapkan kebenaran secara langsung pada agregator melalui antara muka, sambil meminta komuniti untuk membatalkan sebarang kebenaran sedia ada pada kontrak router SwapNet.

Penggodaman kontrak pintar DeFi masih berlaku pada tahun 2026

Insiden Matcha Meta berlaku hanya enam hari selepas Makina Finance, protokol kewangan terdesentralisasi dengan ciri eksekusi automatik, mengalami pelanggaran rangkaian yang mengekstrak kolam likuiditi DUSD/USDC di Curve.

Seperti yang dilaporkan oleh Cryptopolitan, penggodam mengekstrak kira-kira 1,299 Ether daripada kolam stablecoin Curve Makina, bernilai $4.13 juta pada masa itu. Pelanggaran tersebut melibatkan penyedia likuiditi bukan penjaga yang tersambung kepada oracle harga atas rantai, suatu aliran data yang digunakan oleh kontrak pintar untuk menentukan nilai aset.

Menurut firma analisis blockchain Elliptic, sebahagian besar pengubahan wang haram di web gelap hari ini melibatkan perkhidmatan pertukaran coin, termasuk pertukaran segera yang beroperasi melalui laman web bebas atau saluran Telegram.

Tahun lepas, agregator pertukaran terdesentralisasi CoWSwap melaporkan pelanggaran yang menyebabkan kerugian lebih daripada $180,000. Kira-kira $180,000 DAI dicuri melalui kontrak pintar GPv2Settlement CoWSwap untuk eksekusi dagangan.

Platform tersebut berkata bahawa kontrak yang disusupi hanya mempunyai akses kepada bayaran protokol yang dikumpulkan dalam tempoh seminggu, hasil daripada eksploitasi akaun penyelesai. Dalam model CoWSwap, pengguna menandatangani niat dagangan yang dipindahkan kepada penyelesai pihak ketiga, yang bersaing untuk memberikan harga terbaik dan menyimpan bayaran yang dikumpulkan.

Pakar-pakar kripto paling bijak sudah membaca surat berita kami. Ingin turut serta? Sertailah mereka.

Penafian: Artikel yang disiarkan semula di laman web ini diperoleh daripada platform awam dan disediakan untuk tujuan maklumat sahaja. Mereka tidak semestinya mencerminkan pandangan MEXC. Semua hak kekal dengan pengarang asal. Jika anda percaya ada kandungan yang melanggar hak pihak ketiga, sila hubungi [email protected] untuk dialih keluar. MEXC tidak memberi jaminan mengenai ketepatan, kesempurnaan atau ketepatan masa kandungan dan tidak bertanggungjawab terhadap sebarang tindakan yang diambil berdasarkan maklumat yang diberikan. Kandungan itu tidak membentuk nasihat kewangan, undang-undang atau profesional lain, dan ia juga tidak boleh dianggap sebagai cadangan atau pengesahan oleh MEXC.