La plateforme d'agrégation de swaps et de ponts créée par 0x, Matcha Meta, a perdu 16,8 millions de dollars d'actifs numériques en raison d'une faille de sécurité chez SwapNet, selon la plateforme de sécurité Web3 PeckShield.
Matcha Meta a révélé lundi avoir subi une faille de sécurité durant le week-end. Des pirates ont dérobé des jetons à SwapNet, un agrégateur externe intégré à son interface. La plateforme a averti que les utilisateurs ayant désactivé la fonctionnalité « Approbation unique » et autorisé directement l'accès aux jetons pour certains agrégateurs risquaient de perdre leurs fonds.
Nous avons connaissance d'undent concernant SwapNet auquel les utilisateurs de Matcha Meta ont pu être exposés pour ceux qui ont désactivé les approbations ponctuelles
Nous sommes en contact avec l'équipe de SwapNet et ils ont temporairement désactivé leurstrac
L'équipe mène activement l'enquête et fournira…
— Matcha Meta 🎆 (@matchametaxyz) 25 janvier 2026
Dans un communiqué publié sur X, MM, agrégateur de swaps, a indiqué avoir détecté une activité suspecte suite à l'apparition, dans sestractransactionnels, d'importants mouvements de jetons non autorisés provenant du contrat de routage de SwapNet. La plateforme a confirmé avoir contacté l'équipe de SwapNet, qui a « temporairement désactivé sestrac» afin de prévenir des pertes supplémentaires.
Le pirate informatique Matcha Meta a dérobé 3 000 ethers à ses victimes
Selon la société de sécurité blockchain PeckShield , l'attaquant a détourné des fonds via des approbations et des échanges de jetons. Il a transféré environ 10,5 millions d'USDC depuis les adresses des victimes sur Base, une blockchain de couche 2 d'Ether, puis a échangé ces stablecoins contre 3 655 ethers, consolidant ainsi leur valeur dans un actif plus liquide.
Après avoir effectué les échanges, l'attaquant a commencé à transférer l'Ether de Base vers le réseau principal Ethereum afin d'effacer toute trace de transaction. Le pontage est le processus de transfert d'actifs entre blockchains à l'aide detracintelligents ou de protocoles intermédiaires. Bien que considéré comme « légitime » dans la plupart des cas, il est utilisé par les pirates informatiques car il rend leurs opérations quasiment impossibles à trac.
L'auteur de l'infraction avait préalablement accordé des autorisations de transfert de fonds sans la signature de l'utilisateur, permettant ainsi à un trac intelligent de dépenser ces jetons. Si une autorisation est illimitée, un contrat malveillant ou compromis trac vider les fonds jusqu'à épuisement du solde.
Matcha Meta a indiqué que les utilisateurs ayant interagi avec la plateforme via son système d'approbation unique n'ont pas été affectés. Cette fonctionnalité achemine les autorisations de jetons via lestracAllowanceHolder et Settler de 0x, limitant ainsi l'exposition d'un trader en n'accordant d'approbations que pour une seule transaction.
« Après examen avec l'équipe de protocole de 0x, nous avons confirmé que la nature de l'dent n'était pas liée auxtracAllowanceHolder ou Settler de 0x », a écrit Matcha Meta sur X par la suite. L'entreprise a ajouté que les utilisateurs qui ont désactivé les approbations ponctuelles et défini des autorisations directes sur lestracd'agrégation « assument les risques propres à chaque agrégateur »
Après examen avec l'équipe de protocole de 0x, nous avons confirmé que la nature de l'dent n'était pas associée auxtracAllowanceHolder ou Settler de 0x.
Les utilisateurs ayant interagi avec Matcha Meta via une approbation unique sont donc en sécurité.
Les utilisateurs qui ont désactivé l'option « À usage unique »… https://t.co/VQVmj4LL0F
— Matcha Meta 🎆 (@matchametaxyz) 25 janvier 2026
La plateforme d'échange DEX a supprimé la fonction permettant aux utilisateurs de définir des autorisations directes sur les agrégateurs via son interface, tout en demandant à la communauté de révoquer toutes les autorisations existantes sur letracde routeur de SwapNet.
Les piratages detracintelligents DeFi persistent en 2026
L'dent Matcha Meta survient six jours seulement après que Makina Finance, un protocole de finance décentralisée doté de fonctionnalités d'exécution automatisée, a subi une faille de sécurité réseau qui a vidé son pool de liquidités DUSD/USDC sur Curve.
Selon Cryptopolitan , des pirates informatiques trac environ 1 299 ethers du pool de stablecoins Curve de Makina, soit une valeur de 4,13 millions de dollars à l'époque. La faille de sécurité concernait des fournisseurs de liquidités non dépositaires connectés à un oracle de prix on-chain, un flux de données utilisé par les contrats intelligents pour Cryptopolitan trac valeur des actifs.
Selon la société d'analyse blockchain Elliptic, une grande partie du blanchiment d'argent sur le dark web actuel implique des services d'échange de cryptomonnaies, notamment des échanges instantanés fonctionnant via des sites web indépendants ou des chaînes Telegram.
L'année dernière, la plateforme d'échange décentralisée CoWSwap a signalé une faille de sécurité. Elle a indiqué que le contrat compromis trac de l'exploitation d'un compte de solveur. Dans le modèle de CoWSwap, les utilisateurs signent des intentions de transaction qui sont transmises à des solveurs tiers. Ces derniers se font concurrence pour proposer les meilleurs prix et collecter les frais.
