Den on-chain decentraliserede børs (DEX) aggregator SwapNet har været udsat for et større smart contract-angreb, der har tømt knap 16,8 millioner dollars i kryptoaktiver.
Hændelsen understreger vedvarende sikkerhedsrisici knyttet til token-godkendelser og tredjeparts routingkontrakter i decentraliseret finans (DeFi).
On-chain DEX-aggregator SwapNet ramt af $16,8 millioner exploit
PeckShield rapporterede, at angriberen gik efter SwapNet-relateret aktivitet, som kunne tilgås via Matcha Meta, en meta DEX-aggregator bygget af 0x-holdet.
På Base-netværket byttede angriberen cirka 10,5 millioner USDC til omkring 3.655 ETH, før midlerne blev flyttet til Ethereum, en almindelig taktik der komplicerer sporing og genopretning.
Matcha Meta forklarede, at eksponeringen ikke stammer fra deres centrale infrastruktur. I stedet blev de berørte brugere dem, der fravalgte 0x’s One-Time Approval system – en sikkerhedsfunktion, der skal begrænse løbende token-tilladelser.
Brugere, der havde slået funktionen fra, gav direkte tilladelser til underliggende aggregator-kontrakter, herunder SwapNets router, som endte med at blive angrebsvejen ind.
“Vi er klar over en hændelse med SwapNet, som brugere kan have været eksponeret for på Matcha Meta, hvis de har slået One-Time Approvals fra,” udtalte Matcha Meta i en erklæring.
Platformen bekræftede, at de samarbejder med SwapNet-teamet, som midlertidigt har deaktiveret de berørte kontrakter, mens undersøgelserne fortsætter.
Som en forsigtighedsregel opfordrede Matcha Meta brugere til straks at fjerne tilladelser til individuelle aggregators uden for 0x’s One-Time Approval rammeværk.
Platformen fremhævede SwapNets router-kontrakt (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) som den mest presserende godkendelse at fjerne. Gør man det ikke, kan wallets forblive udsatte, selv efter angrebet er stoppet.
DeFi’s sikkerhedsmæssige afvejninger: bekvemmelighed versus tryghed under stigende Smart contracts-udnyttelser
Hændelsen afspejler et vedvarende kompromis i DeFi mellem bekvemmelighed og sikkerhed. One-Time Approvals kræver, at brugere godkender hver transaktion for sig og mindsker dermed løbende angrebsflader. Men det giver samtidig ekstra besvær for hyppige handlende.
Ubegrænsede godkendelser, som ellers er hurtigere, giver smart contracts vedvarende adgang til brugerens midler. Men denne løsning bliver risikabel, hvis kontrakterne kompromitteres.
SwapNet har endnu ikke offentliggjort en teknisk rapport eller meldt ud, om de ramte brugere får kompensation. Det efterlader spørgsmål om ansvar og genopretning åbne.
Manglen på øjeblikkelig klarhed vil formentlig føre til større fokus på praksis for tilladelser og integrationer med aggregators i hele DeFi-økosystemet.
Endnu et Ethereum-angreb understreger risikoen ved uverificerede, lukket kildekode-kontrakter
Udnyttelsen sker under en bredere bølge af smart contract-angreb og sikkerhedshændelser i kryptomarkedet.
Samme dag gjorde sikkerhedsrevisoren Pashov opmærksom på et andet angreb på Ethereum-mainnet, hvor omkring 37 WBTC (over 3,1 millioner dollars) var involveret.
Dette var forbundet til en lukket, uverificeret kontrakt der kun havde været idriftsat i 41 dage. Kontrakten offentliggjorde kun bytecode, som ikke kan læses af mennesker, hvilket forhindrede offentlig gennemgang.
Tilsammen viser hændelserne, hvor mange muligheder der er for angribere i DeFi. Det gælder især:
- Uverificeret kode
- Vedvarende tilladelser
- Komplekse routing-lag
Trods års audits og forbedringer af sikkerheden kæmper DeFi fortsat med strukturelle sårbarheder. Dermed hviler ansvaret både på udviklere og brugere for at balancere brugervenlighed med risikostyring.
