По данным платформы безопасности Web3 PeckShield, платформа агрегации свопов и мостов Matcha Meta, разработанная компанией 0x, потеряла 16,8 миллионов долларов в цифровых активах из-за взлома системы безопасности SwapNet.
В понедельник Matcha Meta сообщила о взломе системы безопасности в выходные дни, в результате которого злоумышленники похитили токены у внешнего агрегатора SwapNet, интегрированного в интерфейс Matcha Meta. Платформа заявила, что пользователи, отключившие функцию «Разовые подтверждения» и предоставившие прямые разрешения на использование токенов отдельным агрегаторам, рисковали потерять свои средства.
Нам известно обdent со SwapNet, с которым могли столкнуться пользователи Matcha Meta, отключившие функцию одноразового подтверждения
Мы связались с командой SwapNet, и они временно отключили своиtrac
Группа ведет активное расследование и предоставит…
— Matcha Meta 🎆 (@matchametaxyz) 25 января 2026 г.
В заявлении агрегатора свопов на платформе X компания MM сообщила, что ей стало известно о подозрительной активности после того, как в транзакционных записях появились записи о крупных несанкционированных перемещениях токенов поtracмаршрутизатора SwapNet. Платформа подтвердила, что связалась с командой SwapNet, которая «временно заблокировала ееtrac», чтобы предотвратить дальнейшие потери.
Хакер, взломавший Matcha Meta, обменял 3000 эфирных монет у своих жертв
По данным компании PeckShield , злоумышленник вывел средства через одобрение и обмен токенов. Он переместил около 10,5 миллионов USDC с адресов жертв в Base, блокчейне второго уровня на основе Ether, а затем обменял стейблкоины на 3655 Ether, консолидировав стоимость в более ликвидный актив.
После завершения обменов злоумышленник начал создавать мосты между блокчейнами Ether и основной сетью Ethereum , чтобы скрыть следы транзакций. Создание мостов — это процесс перевода активов между блокчейнами с использованием смарт-tracили посреднических протоколов. Хотя в большинстве случаев это считается «легитимным», хакеры используют этот метод, поскольку он делает практически невозможным tracих операций.
Злоумышленник ранее предоставлял токены для перемещения средств без подписи пользователя, что давало разрешение смарт-контракту на trac токенов. Если лимит установлен на неограниченный, вредоносный или скомпрометированный контракт trac истощить средства до полного исчерпания баланса.
Компания Matcha Meta заявила, что пользователи, взаимодействовавшие с платформой с помощью системы одноразового одобрения, не пострадали. Эта функция направляет разрешения на использование токенов черезtracAllowanceHolder и Settler компании 0x, ограничивая риски трейдера за счет предоставления одобрений только для одной транзакции.
«После обсуждения с командой разработчиков протокола 0x мы подтвердили, что характерdent не был связан сtracAllowanceHolder или Settler компании 0x», — написала позже Matcha Meta на X. Компания добавила, что пользователи, отключившие одноразовые подтверждения и установившие прямые лимиты вtracагрегаторов, «принимают на себя риски каждого агрегатора»
После обсуждения с командой разработчиков протокола 0x мы подтвердили, что характерdent не был связан сtrac0x с держателями разрешений или распорядителями.
Таким образом, пользователи, которые взаимодействовали с Matcha Meta посредством одноразового подтверждения, находятся в безопасности.
Пользователи, отключившие разовую оплату… https://t.co/VQVmj4LL0F
— Matcha Meta 🎆 (@matchametaxyz) 25 января 2026 г.
Платформа обмена DEX удалила функцию, позволяющую пользователям устанавливать прямые разрешения для агрегаторов через свой интерфейс, и попросила сообщество отозвать все существующие разрешения вtracмаршрутизатора SwapNet.
tracсмарт-контрактов DeFi будет продолжаться и в 2026 году
dent с Matcha Meta произошел всего через шесть дней после того, как Makina Finance, децентрализованный финансовый протокол с функциями автоматического исполнения ордеров, подвергся взлому сети, в результате которого истощился его пул ликвидности DUSD/USDC на платформе Curve.
Как сообщает Cryptopolitan , хакеры trac Cryptopolitan на тот момент составляло 4,13 миллиона долларов. Взлом затронул некастодиальные провайдеры ликвидности, подключенные к оракулу ценообразования в блокчейне — источнику данных, используемому смарт-контрактами trac определения стоимости активов.
По данным аналитической компании Elliptic, специализирующейся на блокчейне, большая часть отмывания денег в современном даркнете осуществляется через сервисы обмена криптовалют, включая мгновенные обмены, работающие через отдельные веб-сайты или каналы в Telegram.
В прошлом году децентрализованный агрегатор бирж CoWSwap сообщил о взломе. Платформа заявила, что скомпрометированный контракт trac в результате использования уязвимости в учетной записи решателя. В модели CoWSwap пользователи подписывают торговые намерения, которые передаются сторонним решателям, конкурирующим за предоставление лучших цен и хранение собранных комиссий.
