Matcha Meta é atingida por hacking no contrato inteligente SwapNet de $16,8M

Introdução No domingo, a Matcha Meta revelou que uma violação de segurança ocorrida através de um de seus principais caminhos de fornecimento de liquidez—o contrato do router SwapNet—comprometeu utilizadores que concederam aprovações ao contrato do router do SwapNet. O incidente destaca como componentes com permissões dentro de ecossistemas de trocas descentralizadas podem tornar-se vetores de ataque mesmo quando a infraestrutura principal permanece intacta. Avaliações públicas iniciais situam as perdas numa faixa de aproximadamente $13 milhões a $17 milhões, com a atividade na cadeia centrada na rede Base e movimentos cross-chain em direção ao Ethereum. A divulgação levou a pedidos para que os utilizadores revogassem aprovações e aumentou o escrutínio sobre como os contratos inteligentes expostos a routers externos são protegidos.

Principais pontos

A violação originou-se através do contrato do router do SwapNet, levando a um apelo urgente para que os utilizadores revogassem aprovações e evitassem perdas adicionais.

As estimativas dos fundos roubados variam: a CertiK reportou cerca de $13,3 milhões, enquanto a PeckShield contabiliza pelo menos $16,8 milhões na rede Base.

Na rede Base, o atacante trocou aproximadamente 10,5 milhões de USDC por cerca de 3.655 ETH e começou a transferir fundos para o Ethereum.

A CertiK atribuiu a vulnerabilidade a uma chamada arbitrária no contrato 0xswapnet, que permitiu ao atacante transferir fundos já aprovados para ele.

A Matcha Meta indicou que a exposição estava relacionada ao SwapNet e não à sua própria infraestrutura, e os responsáveis ainda não forneceram detalhes sobre compensações ou salvaguardas.

Fraquezas em contratos inteligentes continuam a ser o principal motor de exploits em cripto, representando 30,5% dos incidentes em 2025, de acordo com o relatório anual de segurança da SlowMist.

Mencionar Tickers

Tickers mencionados: Crypto → USDC, ETH, TRU

Sentimento

Sentimento: Neutro

Impacto no preço

Impacto no preço: Negativo. A violação destaca riscos de segurança contínuos no DeFi e pode influenciar o sentimento de risco em relação à provisão responsável de liquidez e gestão de aprovações.

Ideia de negociação (Não é aconselhamento financeiro)

Ideia de negociação (Não é aconselhamento financeiro): Manter. O incidente é específico ao caminho de aprovação do router e não implica diretamente um risco sistêmico mais amplo para todos os protocolos DeFi, mas exige cautela na gestão de aprovações e liquidez cross-chain.

Contexto de mercado

Contexto de mercado: O evento ocorre num momento de atenção crescente à segurança no DeFi e à atividade cross-chain, onde provedores de liquidez e agregadores dependem cada vez mais de componentes modulares. Também ocorre num cenário de discussões em evolução sobre governança on-chain, auditorias e a necessidade de salvaguardas robustas, enquanto protocolos de primeira linha e novos participantes competem pela confiança dos utilizadores.

Por que é importante

Por que é importante

Incidentes de segurança em agregadores DeFi ilustram as superfícies de risco persistentes quando múltiplas camadas de protocolo interagem. Neste caso, a violação foi atribuída a uma vulnerabilidade no contrato do router do SwapNet, e não à arquitetura principal da Matcha Meta, reforçando como a confiança é distribuída por componentes parceiros num ecossistema composable. Para os utilizadores, o episódio serve como lembrete para revisar e revogar aprovações de tokens regularmente, especialmente após suspeitas de atividade anormal na cadeia.

O impacto financeiro, embora ainda em evolução, reforça a importância de uma avaliação rigorosa de provedores externos de liquidez e da monitorização em tempo real dos fluxos de aprovações. O fato de os atacantes terem conseguido converter uma parte substancial dos fundos roubados em stablecoins e depois transferi-los para o Ethereum destaca a dinâmica cross-chain que complica a rastreabilidade e esforços de restituição após o incidente. Exchanges e investigadores de segurança enfatizam o valor de escopos de permissão granulares, limitados no tempo, e de capacidades de revogação precoce para limitar o raio de ação de tais exploits.

Do ponto de vista de mercado, o episódio acrescenta a uma narrativa mais ampla sobre a fragilidade das finanças permissionless e a corrida contínua para implementar salvaguardas robustas e auditáveis em todas as camadas dos ecossistemas DeFi. Embora não seja uma acusação sistêmica à Matcha Meta, o incidente intensifica os apelos por auditorias de segurança padronizadas em contratos de router e por maior responsabilização de módulos de terceiros que interagem com fundos de utilizadores.

O que observar a seguir

O que observar a seguir

Atualizações oficiais da Matcha Meta sobre a causa raiz e quaisquer planos de remediação ou compensação para utilizadores afetados.

Auditorias externas ou revisões de terceiros do contrato do router do SwapNet e mudanças de governança para evitar reincidências.

Monitorização on-chain da atividade da ponte Base-para-Ethereum relacionada a este incidente e movimentos subsequentes de fundos.

Desenvolvimentos regulatórios e de padrões da indústria em torno da segurança no DeFi, particularmente frameworks de auditoria de contratos inteligentes e controles de aprovação de utilizadores.

Fontes e verificação

Post da Matcha Meta no X alertando os utilizadores para revogarem aprovações do SwapNet após o incidente.

Aviso da CertiK identificando a exploração como decorrente de uma chamada arbitrária no contrato 0xswapnet que permitiu a transferência de fundos aprovados.

Atualização da PeckShield indicando aproximadamente $16,8 milhões drenados na rede Base, incluindo a troca de USDC por ETH e a transferência para Ethereum.

Relatório anual de segurança blockchain e AML da SlowMist de 2025 detalhando a proporção de incidentes por categoria, incluindo 30,5% atribuídos a vulnerabilidades em contratos inteligentes e 24% a compromissos de contas.

Cobertura do Cointelegraph sobre o incidente Truebit, incluindo uma perda de $26 milhões e a queda do token TRU, para contexto mais amplo sobre exposição ao risco de contratos inteligentes.

Corpo do artigo reescrito

Violação de segurança na Matcha Meta destaca riscos de contratos inteligentes em ecossistemas DEX

No mais recente exemplo de como o DeFi pode ser comprometido internamente, a Matcha Meta revelou que uma violação de segurança ocorreu através de uma de suas principais vias de fornecimento de liquidez—o contrato do router SwapNet. A consequência visível para os utilizadores é a revogação de aprovações de tokens, o que o protocolo explicitamente recomendou na sua publicação pública. A Matcha Meta indicou que a origem do incidente não foi na sua infraestrutura principal, mas sim numa vulnerabilidade na camada do router de um parceiro que concedeu permissões para movimentar fundos em nome dos utilizadores.

Estimativas iniciais de investigadores de segurança colocam o impacto financeiro numa faixa estreita. A CertiK quantificou as perdas em cerca de $13,3 milhões, enquanto a PeckShield relatou um valor mínimo mais alto de $16,8 milhões na rede Base. A discrepância reflete diferentes métodos de contabilidade na cadeia e o momento das revisões pós-incidente, mas ambas as análises confirmam uma perda significativa relacionada à funcionalidade do router do SwapNet. Na rede Base, o atacante trocou aproximadamente 10,5 milhões de USDC por cerca de 3.655 ETH e começou a transferir os lucros para o Ethereum, de acordo com o boletim da PeckShield publicado no X.

Até agora, cerca de $16,8 milhões em cripto foram drenados. Na rede Base, o atacante trocou cerca de 10,5 milhões de USDC por aproximadamente 3.655 ETH e iniciou a transferência de fundos para Ethereum.

A avaliação da CertiK fornece uma explicação técnica para a exploração: uma chamada arbitrária no contrato 0xswapnet permitiu ao atacante retirar fundos que os utilizadores já tinham aprovado, efetivamente contornando um roubo direto do pool de liquidez do SwapNet e aproveitando as permissões concedidas ao router. Esta distinção é importante porque aponta para uma falha de governança ou de design na camada de integração, e não uma violação dos controles de custódia ou segurança da Matcha Meta.

A Matcha Meta reconheceu que a exposição está relacionada ao SwapNet e não atribuiu a vulnerabilidade à sua própria infraestrutura. Tentativas de obter comentários sobre mecanismos de compensação ou salvaguardas não foram imediatamente respondidas, deixando os utilizadores afetados sem uma solução clara a curto prazo. O incidente ilustra um perfil de risco mais amplo para os agregadores DeFi: quando parcerias introduzem novas interfaces de contrato, atacantes podem explorar fluxos com permissões que se situam na interseção de aprovações de utilizador e transferências automáticas de fundos.

O panorama de segurança no cripto permanece persistentemente precário. Em 2025, vulnerabilidades em contratos inteligentes foram a principal causa de exploits em cripto, representando 30,5% dos incidentes e 56 eventos totais, de acordo com o relatório anual de segurança da SlowMist. Esta quota destaca como até projetos sofisticados podem ser derrubados por bugs de casos extremos ou configurações incorretas no código que regula transferências automáticas de valor. Compromissos de contas e contas sociais comprometidas (como perfis de utilizador no X) também representaram uma parte significativa dos incidentes, reforçando a natureza multi-vetor das ferramentas dos atacantes.

Para além dos ângulos técnicos, o incidente alimenta um discurso crescente sobre o uso de inteligência artificial na segurança de contratos inteligentes. Relatórios de DEZEMBRO indicaram que agentes de IA disponíveis comercialmente descobriram aproximadamente $4,6 milhões em exploits on-chain em tempo real, usando ferramentas como Claude Opus 4.5, Claude Sonnet 4.5 e GPT-5 da OpenAI. O surgimento de técnicas de probing e exploração habilitadas por IA adiciona uma camada de complexidade à avaliação de riscos para auditores e operadores. Este cenário em evolução reforça a necessidade de monitorização contínua, revogação rápida de permissões e medidas defensivas adaptáveis nos ecossistemas DeFi.

D duas semanas antes do incidente do SwapNet, outro vulnerabilidade de contrato inteligente de alto perfil resultou em perdas de $26 milhões para o protocolo Truebit, seguido por uma forte reação de preço no token TRU. Tais episódios reforçam o fato de que a camada de contratos inteligentes continua a ser uma superfície de ataque principal para hackers, mesmo quando outros domínios do cripto—custódia, infraestrutura centralizada e componentes off-chain—também enfrentam ameaças persistentes. O tema recorrente é que a gestão de risco deve ir além de auditorias e programas de recompensas por bugs, incluindo governança ao vivo, monitorização em tempo real e práticas prudentes de utilizador em aprovações e movimentos cross-chain.

À medida que o mercado assimila as implicações, os observadores enfatizam que o caminho para a resiliência no DeFi depende de salvaguardas em camadas e de respostas transparentes a incidentes. Embora a vulnerabilidade do SwapNet pareça isolada a uma integração específica, o incidente reforça uma lição central: mesmo parceiros confiáveis podem introduzir risco sistêmico se os seus contratos interagirem com fundos de utilizador de formas que contornem salvaguardas padrão. O registo na cadeia continuará a evoluir enquanto investigadores, a Matcha Meta e os seus parceiros de liquidez realizarem análises forenses e determinarem se as vítimas receberão compensações ou melhorias nos controles de risco para evitar incidentes semelhantes no futuro.

Este artigo foi originalmente publicado como Matcha Meta Hit by $16.8M SwapNet Smart Contract Hack na Crypto Breaking News—a sua fonte de confiança para notícias de cripto, notícias de Bitcoin e atualizações de blockchain.