A Matcha Meta reporta uma violação de segurança, com prejuízo de US$ 16,8 milhões e mais usuários em risco

A plataforma de troca e agregação de moedas digitais Matcha Meta, criada pela 0x, perdeu US$ 16,8 milhões em ativos digitais devido a uma violação de segurança na rede SwapNet, de acordo com a plataforma de segurança Web3 PeckShield.

A Matcha Meta revelou na segunda-feira que sofreu uma exploração de segurança durante o fim de semana, na qual invasores roubaram tokens de um agregador externo integrado à interface da Matcha Meta, chamado SwapNet. A plataforma afirmou que os usuários que desativaram o recurso de "Aprovações Únicas" e concederam permissões diretas de tokens a agregadores individuais corriam o risco de perder seus fundos.

Estamos cientes de umdent com o SwapNet que pode ter exposto usuários no Matcha Meta que desativaram as Aprovações Únicas

Estamos em contato com a equipe da SwapNet e eles desativaram temporariamente seustrac

A equipe está investigando ativamente e fornecerá…

— Matcha Meta (@matchametaxyz) 25 de janeiro de 2026

Na declaração do agregador de swaps sobre o X, a MM afirmou ter tomado conhecimento de atividades suspeitas após o aparecimento de registros de grandes movimentações não autorizadas de tokens provenientes do contrato detracda SwapNet. A plataforma confirmou ter entrado em contato com a equipe da SwapNet, que "desativou temporariamente seustrac" para evitar maiores perdas. 

Hacker da Matcha Meta trocou 3 mil Ethers de suas vítimas

De acordo com a empresa de segurança blockchain PeckShield, o atacante drenou fundos por meio de aprovações e trocas de tokens. Ele movimentou aproximadamente 10,5 milhões de USDC de endereços de vítimas na Base, uma blockchain de camada 2 do Ethereum, e então trocou as stablecoins por 3.655 Ether, consolidando o valor em um ativo mais líquido.

Após concluir as trocas, o atacante começou a transferir Ether da Base para a rede principal Ethereum para ocultar qualquer rastro de transação. A transferência entre blockchains é o processo de transferência de ativos entre blockchains usandotracinteligentes ou protocolos intermediários. Embora seja considerada "legítima" na maioria dos casos, os hackers a utilizam porque torna quase impossível tracsuas operações.

O perpetrador havia concedido anteriormente permissões para movimentar fundos sem a assinatura do usuário, o que autoriza um inteligentetraca gastar seus tokens. Se uma permissão for definida como ilimitada, um contrato malicioso ou comprometidotracdrenar os fundos até que o saldo se esgote. 

A Matcha Meta afirmou que os usuários que interagiram com a plataforma usando seu sistema de Aprovação Única não foram afetados. Esse recurso direciona as permissões de tokens por meio dostracAllowanceHolder e Settler da 0x, limitando a exposição do trader ao conceder aprovações para uma única transação. 

“Após revisão com a equipe de protocolo da 0x, confirmamos que a natureza dodent não estava associada aostracAllowanceHolder ou Settler da 0x”, escreveu a Matcha Meta posteriormente no X. A empresa acrescentou que os usuários que desativaram as Aprovações Únicas e definiram permissões diretas emtracde agregadores “assumem os riscos de cada agregador”

Após revisão com a equipe de protocolo da 0x, confirmamos que a natureza dodent não estava associada aostracAllowanceHolder ou Settler da 0x.

Os usuários que interagiram com a Matcha Meta por meio da Aprovação Única estão, portanto, seguros.

Usuários que desativaram o pagamento único… https://t.co/VQVmj4LL0F

— Matcha Meta (@matchametaxyz) 25 de janeiro de 2026

A plataforma de swap DEX removeu a função que permitia aos usuários definir permissões diretas em agregadores por meio de sua interface, ao mesmo tempo em que solicitou à comunidade que revogasse quaisquer permissões existentes notracde roteador da SwapNet. 

Ataquestracinteligentes DeFi persistem em 2026

Odent com a Matcha Meta ocorre apenas seis dias depois de a Makina Finance, um protocolo de finanças descentralizadas com recursos de execução automatizada, ter sofrido uma violação de rede que drenou seu pool de liquidez DUSD/USDC na Curve.

Conforme relatado pelo Cryptopolitan, hackerstraccerca de 1.299 Ether do pool de stablecoins Curve da Makina, o equivalente a US$ 4,13 milhões na época. A violação envolveu provedores de liquidez não custodiantes conectados a um oráculo de preços on-chain, um fluxo de dados usado por contratos inteligentestracdeterminar o valor dos ativos. 

Segundo a empresa de análise de blockchain Elliptic, grande parte da lavagem de dinheiro na dark web atual envolve serviços de troca de criptomoedas, incluindo exchanges instantâneas que funcionam por meio de sites independentes ou canais do Telegram.

No ano passado, a plataforma descentralizada de agregação de exchanges CoWSwap relatou uma violação de segurança. A plataforma afirmou que o contrato comprometidotracda exploração de uma conta de solver. No modelo da CoWSwap, os usuários assinam intenções de negociação que são repassadas a solvers terceirizados, que competem para oferecer os melhores preços e armazenar as taxas coletadas.