En Resumen
- La explotación de SwapNet drena 16,8 millones de dólares después de que los usuarios desactivaran las protecciones de aprobación única.
- El atacante intercambió 10,5 millones de USDC por ETH en Base antes de transferirlos a Ethereum.
- Matcha Meta desactiva los contratos afectados mientras las firmas de seguridad alertan sobre riesgos más amplios en DeFi.
Una brecha de seguridad vinculada a SwapNet provocó pérdidas de aproximadamente 16,8 millones de dólares, afectando a los usuarios que interactuaron a través de Matcha Meta. El incidente impactó principalmente a los usuarios que desactivaron las aprobaciones únicas, exponiendo permisos persistentes en los tokens.
La firma de seguridad en blockchain PeckShieldAlert identificó la explotación y rastreó los movimientos iniciales de los fondos. El atacante dirigió su ataque a los contratos router de SwapNet que mantenían aprobaciones ilimitadas desde las wallets afectadas.
En la red Base, el atacante intercambió aproximadamente 10,5 millones de dólares en USDC por unos 3,655 ETH. Poco después, comenzó a transferir los activos convertidos a la red principal de Ethereum para dificultar el rastreo.
SwapNet funciona como un router de liquidez utilizado por Matcha Meta para obtener precios y liquidez profunda. La explotación involucró abusar de las aprobaciones existentes en lugar de vulnerar claves privadas o infraestructura central.
Matcha Meta, desarrollado por el equipo 0x, confirmó el problema y desactivó inmediatamente los contratos de SwapNet afectados. La plataforma también eliminó la opción que permitía a los usuarios otorgar aprobaciones directas a agregadores de terceros.
La investigación se amplía mientras las firmas de seguridad alertan sobre riesgos más amplios
Un análisis adicional sugirió que la explotación provino de una vulnerabilidad de llamadas arbitrarias en los contratos de SwapNet. Este fallo permitía a los atacantes transferir tokens aprobados sin solicitar nuevos permisos.
La firma de seguridad BlockSec informó que varios contratos en diferentes cadenas sufrieron pérdidas superiores a 17 millones de dólares. Las redes afectadas incluyeron Ethereum, Arbitrum, Base y BNB Chain, ampliando el alcance del incidente.
Por separado, CertiK estimó que los fondos robados alcanzaron cerca de 13,3 millones de dólares en USDC por actividades relacionadas.
Algunos contratos involucrados permanecieron en código cerrado y sin verificar en el momento del despliegue.
Matcha Meta confirmó posteriormente que los contratos principales de 0x no fueron afectados por el incidente.
Los usuarios que confiaron en aprobaciones de una sola vez a través de la infraestructura 0x permanecieron sin afectar.
El incidente renovó el escrutinio sobre las aprobaciones persistentes de tokens en las finanzas descentralizadas.
Los permisos ilimitados ofrecen conveniencia, pero aumentan la exposición ante fallos en contratos inteligentes.
Mientras tanto, el investigador en cadena ZachXBT criticó la respuesta tardía de Circle para congelar los USDC restantes. Aproximadamente 3 millones de dólares permanecían en direcciones elegibles para ser congeladas durante la ventana de respuesta.
La brecha se suma a una lista creciente de fallos de seguridad en DeFi a principios de 2026. Datos de la industria muestran que los fondos de criptomonedas robados alcanzaron niveles récord en los últimos años, aumentando la presión sobre las prácticas de seguridad de los protocolos.
|
| AVISO: La información en este sitio web se proporciona como comentario general del mercado y no constituye asesoramiento de inversión. Te animamos a realizar tu propia investigación antes de invertir. |
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
El exploit del puente de Kelp DAO resulta en $293M Mint y deja a Aave con más de $200M en deuda incobrable
Un atacante explotó una vulnerabilidad en el puente entre cadenas de Kelp DAO, robando $293 millones en rsETH no respaldado. El incidente causó pérdidas significativas para plataformas DeFi, y Aave se enfrenta a hasta $236 millones en deuda incobrable y a impactos sustanciales en el mercado.
GateNewshace5h
El explotador de KelpDAO pide prestado $195M ETH a Aave, el TVL cae $6.28B cuando las ballenas retiran fondos
Mensaje de Gate News: el explotador de KelpDAO tomó prestados más de 82.600 ETH ($195M) de Aave usando RSETH como garantía, lo que provocó que apareciera deuda incobrable en Aave. Tras este incidente, numerosas ballenas retiraron fondos de Aave, haciendo que su TVL cayera de $26.396B a $20.114B, una disminución de $6.28B.
GateNewshace12h
Morpho pausa el puente entre cadenas MORPHO OFT en Arbitrum tras eventos de Kelp DAO y LayerZero
La Asociación Morpho ha suspendido temporalmente el puente entre cadenas OFT para tokens MORPHO en Arbitrum debido a problemas recientes con Kelp DAO y LayerZero Bridge, a la espera de la confirmación de la causa del incidente de rsETH.
GateNewshace17h
Kamino pausa las interacciones de activos relacionados con LayerZero y cierra funciones de depósito y préstamo
Kamino ha suspendido temporalmente las interacciones con tokens relacionados con LayerZero como medida de precaución, permitiendo al mismo tiempo retiros y pagos de deuda. Enfatizan que esta medida es para la gestión de riesgos y que los fondos de los usuarios están a salvo.
GateNewshace21h
El Parlamento polaco no logra anular el veto del presidente sobre la ley cripto; el primer ministro alega interferencia rusa
Los legisladores polacos no lograron anular el veto del presidente Nawrocki a un proyecto de ley de regulación de criptomonedas destinado a alinearse con las normas de la UE. Las tensiones aumentan a medida que surgen acusaciones sobre la influencia rusa en un importante exchange de cripto en medio de problemas de liquidez y la falta de regulación.
GateNews04-18 12:41
El CEO de Zonda culpa al fundador desaparecido por $336M en Bitcoin perdido
El CEO de Zonda, Przemysław Kral, ha atribuido la pérdida de acceso a 4.500 BTC, valorados en $336 millones, a que el fundador desaparecido, Sylwester Suszek, no logró transferir las claves privadas. En medio de acusaciones de quiebra y de una intensificación de las solicitudes de retiro, Kral insiste en que Zonda sigue siendo solvente y que emprenderá acciones legales mientras busca a Suszek, quien desapareció en 2022.
GateNews04-17 11:01
