Matcha Meta informa de una brecha de seguridad, $16,8 millones perdidos y más usuarios en riesgo

La plataforma de agregación de intercambio y puente construida por 0x, Matcha Meta, perdió $ 16,8 millones en activos digitales debido a una violación de seguridad de SwapNet, según la plataforma de seguridad Web3 PeckShield.

Matcha Meta reveló el lunes que sufrió una vulnerabilidad de seguridad durante el fin de semana, donde atacantes robaron tokens de un agregador externo integrado en la interfaz de Matcha Meta, llamado SwapNet. La plataforma indicó que los usuarios que desactivaron su función de "Aprobaciones Únicas" y otorgaron permisos directos de tokens a agregadores individuales corrían el riesgo de perder sus fondos.

Estamos al tanto de undent con SwapNet al que los usuarios pueden haber estado expuestos en Matcha Meta para aquellos que desactivaron las Aprobaciones únicas

Estamos en contacto con el equipo de SwapNet y han desactivado temporalmente sustrac

El equipo está investigando activamente y proporcionará…

— Matcha Meta (@matchametaxyz) 25 de enero de 2026

En el comunicado del agregador de intercambios sobre X, MM afirmó haber detectado actividad sospechosa tras la aparición en los registros transaccionales de grandes movimientos no autorizados de tokens desde eltracdel enrutador de SwapNet. La plataforma confirmó que se había puesto en contacto con el equipo de SwapNet, que desactivó temporalmente sustracpara evitar más pérdidas. 

Un hacker de Matcha Meta intercambió 3.000 monedas Ether de sus víctimas

Según la firma de seguridad blockchain PeckShield, el atacante drenó fondos mediante aprobaciones e intercambios de tokens. Transferieron aproximadamente 10,5 millones de USDC de las direcciones de las víctimas en Base, una blockchain de capa 2 de Ether, y luego intercambiaron las monedas estables por 3655 Ether, consolidando así su valor en un activo más líquido.

Tras completar los intercambios, el atacante comenzó a conectar el Ether desde Base a la red principal Ethereum para ocultar cualquier rastro de transacciones. El enlace es el proceso de transferir activos entre cadenas de bloques mediantetracinteligentes o protocolos intermediarios. Aunque se considera "legítimo" en la mayoría de los casos, los hackers lo utilizan porque hace casi imposible tracsus operaciones.

El perpetrador había otorgado previamente permisos para transferir fondos sin la firma del usuario, lo que autoriza a un inteligentetraca gastar dichos tokens. Si el permiso se establece como ilimitado, un contrato malicioso o comprometidotracagotar los fondos hasta que se extinga el saldo. 

Matcha Meta afirmó que los usuarios que interactuaron con la plataforma mediante su sistema de Aprobación Única no se vieron afectados. Esta función enruta los permisos de tokens a través de lostracAllowanceHolder y Settler de 0x, lo que limita la exposición del operador al otorgar aprobaciones para una sola transacción. 

“Tras consultar con el equipo de protocolo de 0x, hemos confirmado que la naturaleza deldent no estaba relacionada contracde AllowanceHolder o Settler de 0x”, escribió Matcha Meta en X posteriormente. La compañía añadió que los usuarios que desactivaron las Aprobaciones Únicas y establecieron permisos directos en lostracde agregadores “asumen los riesgos de cada agregador”

Después de revisar con el equipo de protocolo de 0x, hemos confirmado que la naturaleza deldent no estaba asociada contracAllowanceHolder o Settler de 0x.

De esta forma, los usuarios que hayan interactuado con Matcha Meta a través de Aprobación Única están seguros.

Usuarios que han desactivado el pago único… https://t.co/VQVmj4LL0F

— Matcha Meta (@matchametaxyz) 25 de enero de 2026

La plataforma de intercambio DEX eliminó la función para que los usuarios establecieran asignaciones directas a los agregadores a través de su interfaz, al tiempo que solicitó a la comunidad que revocara cualquier permiso existente en eltracde enrutador de SwapNet. 

Los hackeos atracinteligentes DeFi persisten en 2026

Eldent de Matcha Meta se produce apenas seis días después de que Makina Finance, un protocolo financiero descentralizado con funciones de ejecución automatizada, sufriera una violación de la red que agotó su fondo de liquidez DUSD/USDC en Curve.

Según informa Cryptopolitan Cryptopolitan, unos hackerstrac1299 Ether del fondo de stablecoins Curve de Makina, valorado en 4,13 millones de dólares en ese momento. La brecha de seguridad afectó a proveedores de liquidez no custodios conectados a un oráculo de precios en cadena, un flujo de datos utilizado por los contratos inteligentestracdeterminar el valor de los activos. 

Según la firma de análisis de blockchain Elliptic, gran parte del lavado de dinero en la red oscura actual involucra servicios de intercambio de monedas, incluidos intercambios instantáneos que se ejecutan a través de sitios web independientes o canales de Telegram.

El año pasado, el agregador de intercambios descentralizados CoWSwap informó de una brecha de seguridad. La plataforma indicó que el contrato comprometidotracdebió a la explotación de una cuenta de solucionador. En el modelo de CoWSwap, los usuarios firman intenciones de intercambio que se transmiten a solucionadores externos, los cuales compiten para ofrecer los mejores precios y almacenar las comisiones recaudadas.