Agregador DEX atingido por exploração de $16,8M do SwapNet após bypass de aprovação

• Anúncio -

O agregador de bolsas descentralizadas Matcha Meta confirmou um incidente de segurança associado à sua integração SwapNet, resultando numa perda estimada de 16,8 milhões de dólares.

A falha foi inicialmente sinalizada pela empresa de segurança de blockchain PeckShield, com uma análise técnica adicional posteriormente fornecida pela CertiK.

O que correu mal

De acordo com conclusões partilhadas por investigadores de segurança, o exploit afetou especificamente utilizadores que tinham desativado a funcionalidade “One-Time Approval” da Matcha Meta. Ao optarem por não participar, esses utilizadores concederam permissões persistentes diretamente ao contrato router do SwapNet, criando uma superfície de ataque que viria a ser explorada mais tarde.

#PeckShieldAlert A Matcha Meta reportou uma falha de segurança envolvendo o SwapNet. Os utilizadores que optaram por não usar “One-Time Approvals” estão em risco.

Até agora, cerca de ~16,8M de valor em cripto foi drenado.

No #Base, o atacante trocou ~10,5M $USDC por ~3,655 $ETH e começou a fazer a ponte de fundos para… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 de janeiro de 2026

A CertiK identificou a causa raiz como uma vulnerabilidade de “chamada arbitrária” no contrato SwapNet. Este problema permitiu que um atacante iniciasse transferências não autorizadas a partir de carteiras que tinham previamente aprovado o router, contornando efetivamente as salvaguardas normais.

Movimentação de fundos e âmbito

A atividade on-chain mostra que o atacante trocou aproximadamente 10,5 milhões de dólares em USDC na Base por cerca de 3,655 ETH, antes de fazer a ponte dos ativos para a Ethereum. A movimentação entre cadeias parece ter sido concebida para dificultar a monitorização e os esforços de recuperação.

Importa salientar que o incidente não afetou todos os utilizadores da Matcha. A exposição ficou limitada a carteiras que desativaram manualmente as aprovações de uma vez e concederam permissões diretas a contratos do SwapNet.

                Bitcoin supera Ouro e Prata numa votação de investimento de $100,000

Medidas de resposta de emergência

Em resposta ao exploit, a Matcha Meta tomou várias medidas imediatas:

• Os contratos SwapNet foram suspensos para evitar perdas adicionais.
• Os utilizadores foram instados a revogar aprovações existentes, especialmente para o contrato router do SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• A plataforma removeu a opção de desativar aprovações de uma vez, com o objetivo de reduzir riscos semelhantes no futuro.

O incidente evidencia os trade-offs de segurança associados a aprovações persistentes de contratos e reforça a importância de análises regulares de permissões, especialmente ao interagir com agregadores e contratos de routing.