وفقًا لمنصة أمان Web3 PeckShield، فقدت منصة Matcha Meta، وهي منصة تجميع عمليات التبادل والجسور التي أنشأتها شركة 0x، 16.8 مليون دولار من الأصول الرقمية بسبب اختراق أمني لشبكة SwapNet.
أعلنت منصة ماتشا ميتا يوم الاثنين عن تعرضها لاختراق أمني خلال عطلة نهاية الأسبوع، حيث تمكن المهاجمون من سرقة رموز من مُجمِّع خارجي مُدمج في واجهة ماتشا ميتا يُدعى سواب نت. وأوضحت المنصة أن المستخدمين الذين عطلوا خاصية "الموافقات لمرة واحدة" ومنحوا صلاحيات الوصول المباشر إلى الرموز لمُجمِّعي العملات كانوا مُعرَّضين لخطر فقدان أموالهم.
نحن على علم بحادثةdent في SwapNet قد يكون المستخدمون قد تعرضوا لها على Matcha Meta لأولئك الذين قاموا بإيقاف تشغيل ميزة الموافقات لمرة واحدة
نحن على اتصال بفريق SwapNet وقد قاموا بتعطيلtracمؤقتًا
يقوم الفريق بالتحقيق بنشاط وسيقدم..
— ماتشا ميتا 🎆 (@matchametaxyz) ٢٥ يناير ٢٠٢٦
في بيانها الصادر عن منصة تجميع عمليات التبادل على منصة X، ذكرت MM أنها لاحظت نشاطًا مشبوهًا بعد ظهور سجلات لعمليات تحويل كبيرة وغير مصرح بها للرموز المميزة منtracالخاص بشبكة SwapNet في سجلات المعاملات. وأكدت المنصة أنها تواصلت مع فريق SwapNet، الذي قام بدوره "بتعطيلtracمؤقتًا" لمنع المزيد من الخسائر.
قام أحد المخترقين في موقع ماتشا ميتا بتبديل 3000 عملة إيثر من ضحاياه
بحسب شركة PeckShield ، قام المهاجم بسحب الأموال عبر عمليات الموافقة على الرموز المميزة وعمليات التبادل. وقد حوّل ما يقارب 10.5 مليون عملة USDC من عناوين الضحايا على منصة Base، وهي بلوك تشين من الطبقة الثانية مبنية على إيثر، ثم قام بتبادل العملات المستقرة مقابل 3,655 إيثر، مما عزز قيمتها في أصل أكثر سيولة.
بعد إتمام عمليات التبادل، بدأ المهاجم بربط شبكة الإيثيريوم الأساسية بشبكة Ethereum الرئيسية لإخفاء أي آثار للمعاملات. الربط هو عملية نقل الأصول بين سلاسل الكتل باستخدامtracالذكية أو بروتوكولات وسيطة. على الرغم من أنه يُعتبر "مشروعًا" في معظم الحالات، إلا أن المخترقين يستخدمونه لأنه يجعل من المستحيل تقريبًا tracعملياتهم.
سبق للمهاجم أن منح صلاحيات استخدام الرموز لتحويل الأموال دون توقيع المستخدم، مما يمنح الإذن لعقد trac بإنفاق هذه الرموز. إذا تم ضبط الصلاحيات على "غير محدود"، فبإمكان عقد خبيث أو مخترق trac الأموال حتى نفاد الرصيد.
أكدت منصة ماتشا ميتا أن المستخدمين الذين تفاعلوا معها عبر نظام الموافقة لمرة واحدة لم يتأثروا. تعمل هذه الميزة على توجيه صلاحيات الرموز المميزة من خلالtracAllowanceHolder وSettler الخاصة بمنصة 0x، مما يحد من مخاطر المتداولين عبر منح الموافقات لمعاملة واحدة فقط.
كتبت ماتشا ميتا لاحقًا على منصة X: "بعد مراجعة الأمر مع فريق بروتوكول 0x، تأكدنا من أن طبيعةdent لا ترتبطtracAllowanceHolder أو Settler الخاصة بـ 0x". وأضافت الشركة أن المستخدمين الذين عطلوا ميزة الموافقات لمرة واحدة وحددوا بدلات مباشرة علىtracالمُجمِّعين "يتحملون مخاطر كل مُجمِّع"
بعد مراجعة الأمر مع فريق البروتوكول في 0x، تأكدنا من أن طبيعةdent لم تكن مرتبطةtracAllowanceHolder أو Settler الخاصة بـ 0x.
وبالتالي فإن المستخدمين الذين تفاعلوا مع Matcha Meta عبر الموافقة لمرة واحدة آمنون.
المستخدمون الذين قاموا بتعطيل ميزة "التحقق لمرة واحدة"… https://t.co/VQVmj4LL0F
— ماتشا ميتا 🎆 (@matchametaxyz) ٢٥ يناير ٢٠٢٦
قامت منصة تبادل DEX بإزالة وظيفة تمكين المستخدمين من تحديد البدلات المباشرة على المجمعين من خلال واجهتها، بينما طلبت من المجتمع إلغاء أي أذونات موجودة علىtracجهاز التوجيه الخاص بـ SwapNet.
تستمر عمليات اختراقtracالذكية في مجال التمويل DeFi حتى عام 2026
يأتيdent Matcha Meta بعد ستة أيام فقط من تعرض Makina Finance، وهو بروتوكول تمويل لامركزي يتميز بميزات التنفيذ الآلي، لاختراق شبكي أدى إلى استنزاف مجمع السيولة الخاص به DUSD/USDC على Curve.
بحسب ما أفاد موقع Cryptopolitan ، تمكن قراصنة من trac حوالي 1299 إيثيريوم من مجمع عملة كيرف المستقرة التابع لشركة ماكينا، والتي كانت قيمتها آنذاك 4.13 مليون دولار. وشمل الاختراق مزودي سيولة غير احتجازيين مرتبطين بنظام تسعير على سلسلة الكتل، وهو مصدر بيانات تستخدمه العقود الذكية trac قيم الأصول.
بحسب شركة Elliptic لتحليلات البلوك تشين، فإن جزءًا كبيرًا من عمليات غسيل الأموال في الإنترنت المظلم اليوم يتضمن خدمات تبادل العملات، بما في ذلك عمليات التبادل الفوري التي تتم من خلال مواقع ويب مستقلة أو قنوات Telegram.
في العام الماضي، أبلغت منصة CoWSwap، وهي منصة تجميع منصات تداول لامركزية، عن اختراق أمني. وأوضحت المنصة أن العقد المخترق trac عن استغلال حساب وسيط. في نموذج عمل CoWSwap، يوقع المستخدمون على نوايا التداول التي تُمرر إلى وسطاء خارجيين، يتنافسون لتقديم أفضل الأسعار وتخزين الرسوم المحصلة.
