Μια σοβαρή παραβίαση ασφαλείας που σχετίζεται με τον αποκεντρωμένο ανταλλακτήριο aggregator Matcha Meta έχει οδηγήσει σε κλοπή περίπου 16,8 εκατομμυρίων δολαρίων σε κρυπτονομίσματα. Το περιστατικό συνέβη την Κυριακή και εντοπίστηκε όχι στην κύρια υποδομή του Matcha, αλλά στο SwapNet, έναν από τους παρόχους ρευστότητας που είναι ενσωματωμένοι στην πλατφόρμα.

Η Matcha Meta ανακοίνωσε δημόσια το πρόβλημα μέσω ανάρτησης στο X, προειδοποιώντας τους χρήστες που είχαν απενεργοποιήσει τη λειτουργία "$ONE-Time Approval" και είχαν δώσει άμεσες άδειες σε μεμονωμένα συμβόλαια aggregator ότι μπορεί να έχουν εκτεθεί. Η ανακοίνωση ανέφερε: "Είμαστε ενήμεροι για ένα περιστατικό με το SwapNet που μπορεί να έχει εκθέσει χρήστες του Matcha Meta που απενεργοποίησαν τις $ONE-Time Approvals. Είμαστε σε επαφή με την ομάδα του SwapNet και έχουν προσωρινά απενεργοποιήσει τα συμβόλαιά τους."

Η πλατφόρμα προέτρεψε τους επηρεαζόμενους χρήστες να ανακαλέσουν άμεσα τις εγκρίσεις που σχετίζονται με το router contract του SwapNet, προειδοποιώντας ότι η αποτυχία να το κάνουν αυτό θα μπορούσε να αφήσει τα πορτοφόλια τους ευάλωτα σε περαιτέρω μη εξουσιοδοτημένες μεταφορές.

Σύμφωνα με την PeckShield, περίπου 16,8 εκατομμύρια δολάρια έχουν κλαπεί συνολικά, με τον επιτιθέμενο να ανταλλάσσει περίπου 10,5 εκατομμύρια δολάρια σε $USDC για περίπου 3.655 $ETH στο δίκτυο Base πριν αρχίσει να μεταφέρει τα περιουσιακά στοιχεία στο Ethereum. Η CertiK εντόπισε επίσης ύποπτες συναλλαγές, αναγνωρίζοντας ένα πορτοφόλι που απορρόφησε περίπου 13,3 εκατομμύρια δολάρια σε USDC στο Base και τα μετέτρεψε σε wrapped Ether.

Η Matcha διευκρίνισε ότι το περιστατικό δεν σχετίζεται με τα συμβόλαια AllowanceHolder ή Settler της 0x, που υποστηρίζουν το σύστημα $ONE-Time Approval. Οι χρήστες που αλληλεπίδρασαν με το Matcha χρησιμοποιώντας $ONE-Time Approvals δεν επηρεάστηκαν, καθώς αυτός ο σχεδιασμός περιορίζει την πρόσβαση που μπορεί να διατηρήσει ένα τρίτο συμβόλαιο.

Η παραβίαση αναδεικνύει μια επαναλαμβανόμενη ένταση στον τομέα του DeFi μεταξύ ευελιξίας και ασφάλειας. Οι εγκρίσεις token, αν και απαραίτητες για την αλληλεπίδραση με τα έξυπνα συμβόλαια, παραμένουν ένα αδύνατο σημείο, ιδιαίτερα όταν οι άδειες παραμένουν ενεργές πολύ μετά την ολοκλήρωση μιας συναλλαγής. Στην προκειμένη περίπτωση, οι προηγουμένως παραχωρηθείσες άδειες έγιναν ο δρόμος για την εκμετάλλευση μόλις το συμβόλαιο του SwapNet παραβιάστηκε.

Για περισσότερες πληροφορίες σχετικά με την παραβίαση και τις ενέργειες που πρέπει να αναλάβουν οι χρήστες, μπορείτε να επισκεφθείτε τις παρακάτω πηγές: