Miliony przepadają w wyniku naruszenia bezpieczeństwa w Matcha Meta

Jak wykryto naruszenie SwapNet?

Pierwszy raport, oparty na analizach on-chain, został udostępniony przez PeckShield, ujawniając, że nielegalnie wyprowadzono aktywa o wartości około 16,8 miliona dolarów. Dane wskazywały, że atakujący zamienił 10,5 miliona dolarów w USDC w sieci Base na około 3 655 ETH, a następnie przetransferował je do sieci Ethereum. Szybkość tych transakcji sugerowała scenariusz automatycznego wykorzystania luki.

Inna firma zajmująca się bezpieczeństwem, CertiK, przedstawiła wcześniejszą ocenę, szacującą straty na około 13,3 miliona dolarów. Według CertiK, podatność wynikała z problemu "arbitrary call" w kontrakcie SwapNet, co pozwoliło atakującemu na transfer autoryzowanych środków. Rozbieżności w szacunkach między dwoma raportami wynikały z dodatkowych transakcji wykrytych podczas procesu transferu oraz różnic metodologicznych.

W swojej pierwszej reakcji Matcha Meta twierdziła, że konta korzystające z funkcji One-Time Approval nie zostały dotknięte, a jedynie te, które bezpośrednio autoryzowały kontrakty, były narażone na ryzyko. Projekt ograniczył zakres ataku opierając się na tym założeniu.

Uprawnienia użytkowników i wpływ na branżę

Po incydencie Matcha Meta ogłosiła rozpoczęcie dochodzenia we współpracy z zespołem 0x, wyjaśniając, że problem nie był związany z kontraktami 0x AllowanceHolder czy Settler. W oświadczeniu podkreślono, że udzielanie bezpośrednich uprawnień indywidualnym kontraktom agregującym stanowi dodatkowe ryzyko dla użytkowników. W związku z tym opcja bezpośredniej autoryzacji została usunięta, aby zapobiec podobnym incydentom w przyszłości.

Pomimo braku nowych informacji od Matcha Meta, cała branża coraz bardziej obawia się nasilającej się fali ataków. Dane Chainalysis pokazały, że kradzieże kryptowalut przekroczyły 3,41 miliarda dolarów w 2025 roku. Jeden atak na Bybit, opiewający na 1,5 miliarda dolarów, stanowił niemal połowę rocznych strat.

Eksperci twierdzą, że przypadek Matcha Meta podkreśla konieczność dostosowania mechanizmów uprawnień mających poprawić doświadczenie użytkownika do solidnych architektur bezpieczeństwa. Wraz ze wzrostem popularności pomostów cross-chain i kontraktów agregujących, powierzchnia ataku się powiększa, co potęguje dyskusje na temat przenoszenia ryzyka na użytkowników końcowych.