Matcha Meta는 보안 침해로 1,680만 달러가 유출되었으며, 더 많은 사용자가 위험에 처해 있다고 보고했습니다

웹3 보안 플랫폼인 PeckShield에 따르면, 0x가 개발한 스왑 및 브리지 통합 플랫폼인 Matcha Meta가 SwapNet 보안 침해로 인해 1,680만 달러 상당의 디지털 자산 손실을 입었습니다.

Matcha Meta는 월요일에 주말 동안 보안 침해를 당했다고 발표했습니다. 공격자들이 Matcha Meta 인터페이스에 통합된 외부 애그리게이터인 SwapNet에서 토큰을 탈취한 것입니다. 플랫폼 측은 "일회성 승인" 기능을 비활성화하고 개별 애그리게이터에 직접 토큰 권한을 부여한 사용자는 자금을 잃을 위험에 처해 있다고 밝혔습니다.

Matcha Meta에서 일회성 승인 기능을 비활성화한 사용자 중 SwapNetdent 발생했을 가능성이 있음을 인지하고 있습니다

저희는 SwapNet 팀과 연락을 취하고 있으며, 그들은 일시적으로trac을 중단했습니다

해당 팀은 현재 적극적으로 조사 중이며, 추후 관련 정보를 제공할 예정입니다

— 말차 메타 (@matchametaxyz) 2026년 1월 25일

스왑 통합업체인 MM은 X에 대한 성명에서 SwapNet의 라우터trac에서 발생한 대규모의 무단 토큰 이동 기록이 거래 내역에 나타난 후 의심스러운 활동을 인지하게 되었다고 밝혔습니다. 플랫폼 측은 SwapNet 팀에 연락하여 추가 손실을 방지하기 위해 "일시적으로trac을 비활성화"했다고 확인했습니다. 

Matcha Meta 해커가 피해자들로부터 3천 개의 이더리움 코인을 바꿔치기했습니다

에 따르면 PeckShield, 공격자는 토큰 승인 및 스왑을 통해 자금을 빼돌렸습니다. 그들은 이더리움 레이어 2 블록체인인 Base 상의 피해자 주소에서 약 1,050만 USDC를 이동시킨 후, 이 스테이블코인을 3,655 이더로 교환하여 가치를 보다 유동적인 자산으로 고정시켰습니다.

스왑을 완료한 후, 공격자는 거래 내역을 숨기기 위해 베이스 블록체인에서 Ethereum 메인넷으로 이더를 브리징하기 시작했습니다. 브리징은 스마트trac또는 중간 프로토콜을 사용하여 블록체인 간에 자산을 전송하는 프로세스입니다. 대부분의 경우 "합법적인" 거래로 간주되지만, 해커들은 이를 통해 자신들의 활동을 trac하기가 거의 불가능해지기 때문에 악용합니다.

공격자는 이전에 사용자의 서명 없이 자금을 이체할 수 있도록 토큰 허용량을 부여했는데, 이는 스마트 계약trac사용자 의 토큰을 사용할 수 있도록 허용하는 것입니다. 허용량이 무제한으로 설정된 경우, 악의적이거나 손상된 계약trac잔액이 소진될 때까지 자금을 빼낼 수 있습니다. 

Matcha Meta는 일회성 승인 시스템을 사용하여 플랫폼과 상호 작용한 사용자는 영향을 받지 않았다고 밝혔습니다. 해당 기능은 토큰 권한을 0x의 AllowanceHolder 및 Settlertrac을 통해 전달하여 단일 거래에 대한 승인만 부여함으로써 거래자의 위험 노출을 제한합니다. 

"0x의 프로토콜 팀과 검토한 결과, 해당dent 0x의 AllowanceHolder 또는 Settlertrac과는 관련이 없는 것으로 확인되었습니다."라고 Matcha Meta는 X에 추후 공지했습니다. 또한, 일회성 승인 기능을 비활성화하고 애그리게이터trac에 직접 허용량을 설정한 사용자는 "각 애그리게이터의 위험을 감수해야 한다"고 덧붙였습니다

0x의 프로토콜 팀과 검토한 결과, 해당dent 0x의 AllowanceHolder 또는 Settlertrac과 관련이 없는 것으로 확인되었습니다.

일회성 승인 절차를 통해 Matcha Meta와 상호 작용한 사용자는 안전합니다.

일회성 기능을 비활성화한 사용자는… https://t.co/VQVmj4LL0F

— 말차 메타 (@matchametaxyz) 2026년 1월 25일

DEX 스왑 플랫폼은 사용자가 인터페이스를 통해 애그리게이터에 직접 허용량을 설정할 수 있는 기능을 제거했으며, 커뮤니티에 SwapNet 라우터trac에 대한 기존 권한을 모두 취소해 줄 것을 요청했습니다. 

2026년에도 DeFi 스마트trac해킹은 계속될 것입니다

Matcha Metadent 자동 실행 기능을 갖춘 탈중앙화 금융 프로토콜인 Makina Finance가 Curve의 DUSD/USDC 유동성 풀이 고갈되는 네트워크 침해를 겪은 지 불과 6일 만에 발생했습니다.

따르면 보도 의 Cryptopolitan, 해커들이trac렸는데, 이는 당시 413만 달러에 해당하는 금액입니다. 이번 해킹은 온체인 가격 오라클(스마트 계약에서 자산 가치를 결정하는 데 사용되는 데이터 피드)에 연결된 비수탁형 유동성 공급자와 관련이trac. 

블록체인 분석 회사인 엘립틱에 따르면, 오늘날 다크 웹에서 이루어지는 자금 세탁의 상당 부분은 코인 교환 서비스를 통해 이루어지며, 여기에는 독립형 웹사이트나 텔레그램 채널을 통해 운영되는 즉시 거래소도 포함됩니다.

작년에 탈중앙화 거래소 통합 플랫폼인 CoWSwap은 데이터 유출 사고를 보고했습니다. 플랫폼 측은 유출된 계약이trac계정 악용에서 비롯되었다고 밝혔습니다. CoWSwap 모델에서 사용자는 거래 의사를 서명하고, 이 의사는 제3자 솔버에게 전달되어 솔버들이 최적의 가격을 제시하고 수수료를 저장하는 방식으로 거래가 이루어집니다.