Matcha Meta постраждав від зламу смарт-контракту SwapNet на суму $16.8M

Вступ У неділю Matcha Meta повідомила про злом безпеки, пов’язаний з одним із її основних провайдерів ліквідності — SwapNet, що скоїв компрометацію користувачів, які надали дозволи на роутер-контракт SwapNet. Інцидент підкреслює, як дозволені компоненти в децентралізованих біржових екосистемах можуть стати векторами атак навіть тоді, коли основна інфраструктура залишається цілісною. Попередні публічні оцінки збитків коливаються в межах приблизно 13 мільйонів до 17 мільйонів доларів, причому активність у мережі зосереджена навколо мережі Base та міжланцюгових переміщень у напрямку Ethereum. Це розкриття спонукало користувачів відкликати дозволи та посилило увагу до того, як захищені смарт-контракти, відкриті зовнішнім роутерам.

Ключові висновки

Злом виник через роутер-контракт SwapNet, що викликав термінову необхідність відкликати дозволи користувачів для запобігання подальших збитків.

Оцінки викрадених коштів варіюються: CertiK повідомляє близько 13,3 мільйона доларів, тоді як PeckShield оцінює щонайменше 16,8 мільйона доларів у мережі Base.

У мережі Base зловмисник обміняв приблизно 10,5 мільйонів USDC на близько 3,655 ETH і почав переміщувати кошти до Ethereum.

CertiK пояснив уразливість довільним викликом у контракті 0xswapnet, що дозволило зловмиснику переводити вже затверджені кошти.

Matcha Meta зазначила, що вразливість була пов’язана з SwapNet, а не з власною інфраструктурою, і поки що не надала деталей щодо компенсацій або заходів безпеки.

Недоліки смарт-контрактів залишаються основним чинником криптоексплойтів, становлячи 30,5% випадків у 2025 році, згідно з щорічним звітом SlowMist про безпеку.

Згадані тикери

Згадані тикери: Crypto → USDC, ETH, TRU

Настрій

Настрій: нейтральний

Вплив на ціну

Вплив на ціну: негативний. Злом підкреслює постійні ризики безпеки в DeFi і може вплинути на ринковий настрій щодо відповідального надання ліквідності та управління дозволами.

Ідея для торгівлі (Не є фінансовою порадою)

Ідея для торгівлі (Не є фінансовою порадою): тримати. Інцидент стосується конкретного шляху дозволу роутера і не прямо вказує на ширший системний ризик для всіх протоколів DeFi, але вимагає обережності щодо управління дозволами та міжланцюгової ліквідності.

Контекст ринку

Контекст ринку: подія сталася на тлі зростаючої уваги до безпеки DeFi та міжланцюгової активності, де провайдери ліквідності та агрегатори дедалі більше покладаються на модульні компоненти. Це також відбувається на тлі еволюції дискусій щодо он-чейн управління, аудитів і необхідності міцних заходів безпеки, оскільки протоколи високого рівня та нові учасники змагаються за довіру користувачів.

Чому це важливо

Чому це важливо

Інциденти безпеки у DeFi-агрегаторах ілюструють постійні ризики, що виникають при взаємодії кількох рівнів протоколів. У цьому випадку злом був спричинений уразливістю в роутер-контракті SwapNet, а не в основній архітектурі Matcha Meta, що підкреслює, як довіра розподілена між компонентами партнерів у модульній екосистемі. Для користувачів цей випадок слугує нагадуванням регулярно переглядати та відкликати дозволи токенів, особливо після підозр у аномальній активності в мережі.

Фінансовий вплив, хоча й ще формується, підкреслює важливість ретельної перевірки зовнішніх провайдерів ліквідності та моніторингу потоків дозволів у реальному часі. Той факт, що зловмисники змогли конвертувати значну частину викрадених коштів у стабільні монети та перемістити активи до Ethereum, підкреслює міжланцюгову динаміку, яка ускладнює відстеження та відшкодування після інциденту. Біржі та дослідники безпеки наголошують на цінності детальних, обмежених за часом дозволів і раннього відкликання для зменшення масштабу таких експлойтів.

З огляду на ринок, цей інцидент додає до ширшої дискусії про крихкість permissionless-фінансів і гонку за впровадженням міцних, аудиту-готових заходів безпеки у шарах екосистем DeFi. Хоча цей випадок не є системною проблемою Matcha Meta, він посилює заклики до стандартизації аудитів роутер-контрактів і більшої відповідальності третіх модулів, що взаємодіють із коштами користувачів.

Що слід спостерігати далі

Що слід спостерігати далі

Офіційні оновлення Matcha Meta щодо причин інциденту та будь-яких планів щодо відшкодування або виправлень для постраждалих користувачів.

Зовнішні аудити або сторонні огляди роутер-контракту SwapNet і зміни у управлінні для запобігання повторенню.

Моніторинг активності міжланцюгового мосту Base до Ethereum і подальших переміщень коштів.

Розвиток нормативної бази та галузевих стандартів у сфері безпеки DeFi, зокрема рамки аудиту смарт-контрактів і контролю дозволів користувачів.

Джерела та перевірки

Пост Matcha Meta у X, що попереджає користувачів відкликати дозволи SwapNet після злома.

Консультація CertiK, яка визначила, що експлойт виник через довільний виклик у контракті 0xswapnet, що дозволив переводити затверджені кошти.

Оновлення PeckShield, яке повідомляє про викрадення близько 16,8 мільйона доларів у мережі Base, включаючи обмін USDC на ETH і переміщення до Ethereum.

Щорічний звіт SlowMist 2025 про безпеку блокчейнів і AML, що деталізує частки інцидентів за категоріями, зокрема 30,5% через уразливості смарт-контрактів і 24% через компрометацію акаунтів.

Огляд Cointelegraph щодо інциденту з Truebit, включаючи збитки у 26 мільйонів доларів і падіння токена TRU, для ширшого розуміння ризиків, пов’язаних із смарт-контрактами.

Переписаний текст статті

Злом безпеки в Matcha Meta підкреслює ризики смарт-контрактів у екосистемах DEX

У найновішому прикладі того, як DeFi може бути зламаний зсередини, Matcha Meta повідомила, що через один із своїх основних шляхів надання ліквідності — роутер-контракт SwapNet — стався злом безпеки. Наслідком для користувачів є відкликання дозволів на токени, що протокол явно рекомендував у своєму публічному повідомленні. Відповідно, злом не походив із основної інфраструктури Matcha Meta, зазначили у компанії, а скоріше з уразливості в шарі роутера партнера, що надавав дозволи на переміщення коштів від імені користувачів.

Попередні оцінки від дослідників безпеки показують, що фінансовий збиток обмежений. CertiK оцінив втрати приблизно у 13,3 мільйона доларів, тоді як PeckShield повідомляє щонайменше 16,8 мільйона доларів у мережі Base. Різниця зумовлена різними методами обліку в мережі та часом проведення аналізу після інциденту, але обидві оцінки підтверджують значний збиток, пов’язаний із функціональністю роутера SwapNet. У мережі Base зловмисник обміняв приблизно 10,5 мільйонів USDC (CRYPTO: USDC) на близько 3,655 ETH (CRYPTO: ETH) і почав переміщувати прибутки до Ethereum, згідно з повідомленням PeckShield, опублікованим у X.

Поки що викрадено близько 16,8 мільйона доларів у криптовалюті. У мережі Base зловмисник обміняв ~10,5 мільйонів USDC на ~3,655 ETH і почав переміщувати кошти до Ethereum.

Оцінка CertiK надає технічне пояснення експлойту: довільний виклик у контракті 0xswapnet дозволив зловмиснику витягти кошти, які користувачі вже затвердили, фактично обходячи прямий крадіжку з ліквідного пулу SwapNet і використовуючи дозволи, надані роутеру. Це важливо, оскільки вказує на недолік у управлінні або дизайні на рівні інтеграції, а не на порушення власної безпеки або контролю Matcha Meta.

Matcha Meta підтвердила, що вразливість пов’язана з SwapNet і не приписує її власній інфраструктурі. Запити щодо компенсацій або заходів безпеки залишилися без відповіді, залишаючи постраждалих користувачів без чіткої можливості відшкодування найближчим часом. Інцидент ілюструє ширший ризик для DEX-агрегаторів: коли партнерські контракти вводять нові інтерфейси, зловмисники можуть цілитися у дозволені потоки, що поєднують дозволи користувачів і автоматичні перекази коштів.

Загальна ситуація з безпекою у крипто залишається напруженою. У 2025 році уразливості смарт-контрактів були основною причиною криптоексплойтів, становлячи 30,5% випадків і 56 подій, згідно з щорічним звітом SlowMist. Це підкреслює, що навіть найскладніші проєкти можуть бути зламані через крайні випадки багів або неправильні налаштування у коді, що керує автоматичним переказом цінностей. Компрометація акаунтів і зламані соціальні акаунти (наприклад, облікові записи у X) також становили значну частку інцидентів, що підкреслює багатовекторний характер атак.

Крім технічних аспектів, інцидент сприяє зростаючій дискусії щодо використання штучного інтелекту у безпеці смарт-контрактів. Звіти DECEMBER зазначають, що комерційно доступні AI-агенти виявили приблизно 4,6 мільйона доларів у реальних експлойтах у мережі, використовуючи такі інструменти, як Claude Opus 4.5, Claude Sonnet 4.5 і GPT-5 від OpenAI. Зростання застосування AI для досліджень і експлуатацій додає складності оцінці ризиків для аудиторів і операторів. Ця еволюція підсилює необхідність постійного моніторингу, швидкого відкликання дозволів і гнучких захисних заходів у DeFi-екосистемах.

За два тижні до інциденту з SwapNet ще один високопрофільний уразливий випадок смарт-контракту призвів до втрат у 26 мільйонів доларів для протоколу Truebit, що спричинило різке падіння ціни токена TRU (CRYPTO: TRU). Такі випадки підкреслюють, що рівень безпеки смарт-контрактів залишається ключовою точкою атаки для хакерів, навіть якщо інші сфери крипто — зберігання, централізована інфраструктура та поза-ланцюгові компоненти — також піддаються постійним загрозам. Головна ідея полягає в тому, що управління ризиками має виходити за межі аудитів і боніту, включаючи живе управління, моніторинг у реальному часі та обережність у дозволах і міжланцюгових переміщеннях.

З огляду на ситуацію, експерти наголошують, що шлях до стійкості DeFi лежить через багаторівневі заходи безпеки та прозоре реагування на інциденти. Хоча вразливість SwapNet здається ізольованою, цей випадок підкреслює важливий урок: навіть довірені партнери можуть створювати системний ризик, якщо їхні контракти взаємодіють із коштами користувачів у спосіб, що обходить стандартні заходи безпеки. Офіційні розслідування, Matcha Meta і її провайдери ліквідності продовжать аналізувати ситуацію та визначати, чи отримають постраждалі компенсацію або покращення систем безпеки для запобігання подібним інцидентам у майбутньому.

Ця стаття спочатку була опублікована під назвою «Matcha Meta Hit by $16.8M SwapNet Smart Contract Hack» на Crypto Breaking News — вашому надійному джерелі новин у сфері криптовалют, Bitcoin і блокчейну.