Matcha Meta сообщает о взломе системы безопасности, в результате которого было украдено 16,8 млн долларов, и под угрозой находятся ещё больше пользователей

По данным платформы безопасности Web3 PeckShield, платформа агрегации свопов и мостов Matcha Meta, разработанная компанией 0x, потеряла 16,8 миллионов долларов в цифровых активах из-за взлома системы безопасности SwapNet.

В понедельник Matcha Meta сообщила о взломе системы безопасности в выходные дни, в результате которого злоумышленники похитили токены у внешнего агрегатора SwapNet, интегрированного в интерфейс Matcha Meta. Платформа заявила, что пользователи, отключившие функцию «Разовые подтверждения» и предоставившие прямые разрешения на использование токенов отдельным агрегаторам, рисковали потерять свои средства.

Нам известно обdent со SwapNet, с которым могли столкнуться пользователи Matcha Meta, отключившие функцию одноразового подтверждения

Мы связались с командой SwapNet, и они временно отключили своиtrac

Группа ведет активное расследование и предоставит…

— Matcha Meta (@matchametaxyz) 25 января 2026 г.

В заявлении агрегатора свопов на платформе X компания MM сообщила, что ей стало известно о подозрительной активности после того, как в транзакционных записях появились записи о крупных несанкционированных перемещениях токенов поtracмаршрутизатора SwapNet. Платформа подтвердила, что связалась с командой SwapNet, которая «временно заблокировала ееtrac», чтобы предотвратить дальнейшие потери. 

Хакер, взломавший Matcha Meta, обменял 3000 эфирных монет у своих жертв

По данным компании PeckShield, злоумышленник вывел средства через одобрение и обмен токенов. Он переместил около 10,5 миллионов USDC с адресов жертв в Base, блокчейне второго уровня на основе Ether, а затем обменял стейблкоины на 3655 Ether, консолидировав стоимость в более ликвидный актив.

После завершения обменов злоумышленник начал создавать мосты между блокчейнами Ether и основной сетью Ethereum , чтобы скрыть следы транзакций. Создание мостов — это процесс перевода активов между блокчейнами с использованием смарт-tracили посреднических протоколов. Хотя в большинстве случаев это считается «легитимным», хакеры используют этот метод, поскольку он делает практически невозможным tracих операций.

Злоумышленник ранее предоставлял токены для перемещения средств без подписи пользователя, что давало разрешение смарт-контрактуtracна токенов. Если лимит установлен на неограниченный, вредоносный или скомпрометированный контрактtracистощить средства до полного исчерпания баланса. 

Компания Matcha Meta заявила, что пользователи, взаимодействовавшие с платформой с помощью системы одноразового одобрения, не пострадали. Эта функция направляет разрешения на использование токенов черезtracAllowanceHolder и Settler компании 0x, ограничивая риски трейдера за счет предоставления одобрений только для одной транзакции. 

«После обсуждения с командой разработчиков протокола 0x мы подтвердили, что характерdent не был связан сtracAllowanceHolder или Settler компании 0x», — написала позже Matcha Meta на X. Компания добавила, что пользователи, отключившие одноразовые подтверждения и установившие прямые лимиты вtracагрегаторов, «принимают на себя риски каждого агрегатора»

После обсуждения с командой разработчиков протокола 0x мы подтвердили, что характерdent не был связан сtrac0x с держателями разрешений или распорядителями.

Таким образом, пользователи, которые взаимодействовали с Matcha Meta посредством одноразового подтверждения, находятся в безопасности.

Пользователи, отключившие разовую оплату… https://t.co/VQVmj4LL0F

— Matcha Meta (@matchametaxyz) 25 января 2026 г.

Платформа обмена DEX удалила функцию, позволяющую пользователям устанавливать прямые разрешения для агрегаторов через свой интерфейс, и попросила сообщество отозвать все существующие разрешения вtracмаршрутизатора SwapNet. 

tracсмарт-контрактов DeFi будет продолжаться и в 2026 году

dent с Matcha Meta произошел всего через шесть дней после того, как Makina Finance, децентрализованный финансовый протокол с функциями автоматического исполнения ордеров, подвергся взлому сети, в результате которого истощился его пул ликвидности DUSD/USDC на платформе Curve.

Как сообщает Cryptopolitan Cryptopolitan, хакерыtracна тот момент составляло 4,13 миллиона долларов. Взлом затронул некастодиальные провайдеры ликвидности, подключенные к оракулу ценообразования в блокчейне — источнику данных, используемому смарт-контрактамиtracопределения стоимости активов. 

По данным аналитической компании Elliptic, специализирующейся на блокчейне, большая часть отмывания денег в современном даркнете осуществляется через сервисы обмена криптовалют, включая мгновенные обмены, работающие через отдельные веб-сайты или каналы в Telegram.

В прошлом году децентрализованный агрегатор бирж CoWSwap сообщил о взломе. Платформа заявила, что скомпрометированный контрактtracв результате использования уязвимости в учетной записи решателя. В модели CoWSwap пользователи подписывают торговые намерения, которые передаются сторонним решателям, конкурирующим за предоставление лучших цен и хранение собранных комиссий.