Matcha Meta segnala una violazione della sicurezza, 16,8 milioni di dollari sprecati, con più utenti a rischio

Secondo la piattaforma di sicurezza Web3 PeckShield, la piattaforma di aggregazione di swap e bridge creata da 0x, Matcha Meta, ha perso 16,8 milioni di dollari in asset digitali a causa di una violazione della sicurezza di SwapNet.

Matcha Meta ha rivelato lunedì di aver subito un exploit di sicurezza durante il fine settimana, in cui gli aggressori hanno rubato token da un aggregatore esterno integrato nell'interfaccia di Matcha Meta chiamato SwapNet. La piattaforma ha affermato che gli utenti che hanno disabilitato la funzione "Approvazioni una tantum" e concesso autorizzazioni dirette per i token ai singoli aggregatori rischiavano di perdere i propri fondi.

Siamo a conoscenza di undent con SwapNet a cui gli utenti potrebbero essere stati esposti su Matcha Meta per coloro che hanno disattivato le approvazioni una tantum

Siamo in contatto con il team SwapNet e hanno temporaneamente disattivato i lorotrac

Il team sta indagando attivamente e fornirà..

— Matcha Meta (@matchametaxyz) 25 gennaio 2026

Nella dichiarazione dell'aggregatore di swap su X, MM ha affermato di essere venuta a conoscenza di attività sospette dopo che nei registri transazionali sono comparsi record di ingenti movimenti di token non autorizzati daltracrouter di SwapNet. La piattaforma ha confermato di aver contattato il team di SwapNet, che ha "temporaneamente disattivato i suoitrac" per prevenire ulteriori perdite. 

L'hacker di Matcha Meta ha scambiato 3.000 monete Ether dalle vittime

Secondo la società di sicurezza blockchain PeckShield, l'aggressore ha prosciugato i fondi tramite approvazioni di token e swap. Ha spostato circa 10,5 milioni di USDC dagli indirizzi delle vittime su Base, una blockchain di livello 2 di Ether, per poi scambiare le stablecoin con 3.655 Ether, consolidando il valore in un asset più liquido.

Dopo aver completato gli scambi, l'aggressore ha iniziato a collegare gli Ether dalla rete Base alla rete principale Ethereum per nascondere qualsiasi traccia delle transazioni. Il bridging è il processo di trasferimento di asset tra blockchain utilizzandotracintelligenti o protocolli intermedi. Sebbene sia considerato "legittimo" nella maggior parte dei casi, gli hacker lo utilizzano perché rende quasi impossibile tracle loro operazioni.

L'autore del reato aveva precedentemente concesso permessi per trasferire fondi senza la firma dell'utente, autorizzando così un atraccontratto spendere i suoi token. Se un permesso è impostato su illimitato, un contratto malevolo o compromessotracprosciugare i fondi fino all'esaurimento del saldo. 

Matcha Meta ha affermato che gli utenti che hanno interagito con la piattaforma utilizzando il suo sistema di approvazione una tantum non sono stati interessati. Questa funzionalità indirizza le autorizzazioni dei token attraverso itracAllowanceHolder e Settler di 0x, limitando l'esposizione di un trader concedendo approvazioni per una singola transazione. 

"Dopo aver esaminato la questione con il team di protocollo di 0x, abbiamo confermato che la naturadent non era associata aitracAllowanceHolder o Settler di 0x", ha scritto in seguito Matcha Meta su X. L'azienda ha aggiunto che gli utenti che hanno disabilitato le approvazioni una tantum e impostato le indennità dirette suitracdegli aggregatori "si assumono i rischi di ciascun aggregatore"

Dopo aver consultato il team di protocollo di 0x, abbiamo confermato che la naturadent non era associata aitracAllowanceHolder o Settler di 0x.

Gli utenti che hanno interagito con Matcha Meta tramite approvazione una tantum sono quindi al sicuro.

Utenti che hanno disabilitato One-Time… https://t.co/VQVmj4LL0F

— Matcha Meta (@matchametaxyz) 25 gennaio 2026

La piattaforma di scambio DEX ha rimosso la funzione che consentiva agli utenti di impostare quote dirette sugli aggregatori tramite la sua interfaccia, chiedendo al contempo alla comunità di revocare tutte le autorizzazioni esistenti sultracdel router di SwapNet. 

Gli attacchi informatici aitracintelligenti DeFi persistono nel 2026

L'dent di Matcha Meta si verifica appena sei giorni dopo che Makina Finance, un protocollo finanziario decentralizzato con funzionalità di esecuzione automatizzata, ha subito una violazione della rete che ha prosciugato il suo pool di liquidità DUSD/USDC su Curve.

Come riportato da Cryptopolitan, gli hacker hannotraccirca 1.299 Ether dal pool di stablecoin Curve di Makina, per un valore di 4,13 milioni di dollari all'epoca. La violazione ha coinvolto fornitori di liquidità non custodial collegati a un oracolo di prezzi on-chain, un flusso di dati utilizzato dagli smart contracttracdeterminare il valore degli asset. 

Secondo la società di analisi blockchain Elliptic, gran parte del riciclaggio di denaro sul dark web avviene oggi tramite servizi di scambio di monete, tra cui scambi istantanei che avvengono tramite siti web autonomi o canali Telegram.

L'anno scorso, l'aggregatore di exchange decentralizzato CoWSwap ha segnalato una violazione dei dati. La piattaforma ha affermato che il contratto compromessotracdallo sfruttamento di un account di un solver. Nel modello di CoWSwap, gli utenti firmano dichiarazioni di intenti di scambio che vengono trasmesse a solver di terze parti, i quali competono per fornire i prezzi migliori e gestiscono le commissioni riscosse.