Agregador DEX atingido por exploração de $16,8M do SwapNet após bypass de aprovação

• Anúncio -

O agregador de exchanges descentralizadas Matcha Meta confirmou um incidente de segurança relacionado com a sua integração SwapNet, resultando numa perda estimada de $16,8 milhões.

A falha foi inicialmente identificada pela empresa de segurança de blockchain PeckShield, com análises técnicas adicionais fornecidas mais tarde pela CertiK.

O que correu mal

De acordo com as conclusões partilhadas por investigadores de segurança, o exploit afetou especificamente utilizadores que tinham desativado a funcionalidade “One-Time Approval” da Matcha Meta. Ao optar por não participar, esses utilizadores concederam permissões persistentes diretamente ao contrato router do SwapNet, criando uma superfície de ataque que foi mais tarde abusada.

#PeckShieldAlert A Matcha Meta reportou uma violação de segurança envolvendo o SwapNet. Os utilizadores que optaram por não fazer “One-Time Approvals” estão em risco.

Até agora, ~$16,8M em cripto foram drenados.

No #Base, o atacante trocou ~10,5M $USDC por ~3,655 $ETH e começou a fazer bridging de fundos para… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 de janeiro de 2026

A CertiK identificou a causa raiz como uma vulnerabilidade de “chamada arbitrária” no contrato SwapNet. Este problema permitiu que um atacante iniciasse transferências não autorizadas a partir de carteiras que tinham previamente aprovado o router, contornando efetivamente as salvaguardas normais.

Movimentação de fundos e âmbito

A atividade on-chain mostra que o atacante trocou aproximadamente $10,5 milhões em USDC na Base por cerca de 3,655 ETH, antes de fazer bridging dos ativos para a Ethereum. O movimento entre cadeias parece ter sido concebido para dificultar o rastreio e os esforços de recuperação.

Importante: o incidente não afetou todos os utilizadores da Matcha. A exposição limitou-se a carteiras que desativaram manualmente as aprovações de uma só vez e concederam permissões diretas a contratos SwapNet.

                Bitcoin ultrapassa ouro e prata numa sondagem de investimento de $100.000

Medidas de resposta de emergência

Em resposta ao exploit, a Matcha Meta tomou várias medidas imediatas:

• Os contratos SwapNet foram suspensos para evitar perdas adicionais.
• Os utilizadores foram instados a revogar aprovações existentes, especialmente para o contrato router do SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• A plataforma removeu a opção de desativar aprovações de uma só vez, com o objetivo de reduzir riscos semelhantes no futuro.

O incidente evidencia os trade-offs de segurança associados a aprovações persistentes de contratos e reforça a importância de revisões regulares das permissões, especialmente ao interagir com agregadores e contratos de routing.