En Bref
- L’exploitation de SwapNet entraîne un drain de 16,8 millions de dollars après que les utilisateurs ont désactivé les protections d’autorisation unique.
- L’attaquant a échangé 10,5 millions de USDC contre de l’ETH sur Base avant de le transférer vers Ethereum.
- Matcha Meta désactive les contrats affectés alors que des cabinets de sécurité signalent des risques plus larges dans la DeFi.
Une faille de sécurité liée à SwapNet a entraîné une perte d’environ 16,8 millions de dollars, affectant les utilisateurs interagissant via Matcha Meta. L’incident a principalement concerné les utilisateurs ayant désactivé les autorisations uniques, exposant ainsi des permissions de jetons persistantes.
La société de sécurité blockchain PeckShieldAlert a identifié l’exploitation et tracé les mouvements initiaux des fonds. L’attaquant a ciblé les contrats de routeur SwapNet qui conservaient des autorisations illimitées provenant des portefeuilles des utilisateurs affectés.
Sur le réseau Base, l’attaquant a échangé environ 10,5 millions de dollars en USDC contre environ 3 655 ETH. Peu de temps après, l’attaquant a commencé à transférer les actifs convertis vers le réseau principal Ethereum pour compliquer le suivi.
SwapNet fonctionne comme un routeur de liquidité utilisé par Matcha Meta pour obtenir des prix et une liquidité profonde. L’exploitation a impliqué l’abus des autorisations existantes plutôt que la violation des clés privées ou de l’infrastructure principale.
Matcha Meta, développé par l’équipe 0x, a confirmé le problème et a immédiatement désactivé les contrats SwapNet affectés. La plateforme a également supprimé l’option permettant aux utilisateurs d’accorder des autorisations directes à des agrégateurs tiers.
L’enquête s’élargit alors que des cabinets de sécurité signalent des risques plus importants
Une analyse plus approfondie a suggéré que l’exploitation provenait d’une vulnérabilité d’appel arbitraire dans les contrats SwapNet. Ce défaut permettait aux attaquants de transférer des jetons approuvés sans demander de nouvelles permissions.
La société de sécurité BlockSec a rapporté que plusieurs contrats sur différentes chaînes ont subi des pertes dépassant 17 millions de dollars. Les réseaux affectés comprenaient Ethereum, Arbitrum, Base et BNB Chain, ce qui augmente la portée de l’incident.
Par ailleurs, CertiK a estimé que près de 13,3 millions de dollars en USDC avaient été volés dans le cadre d’activités connexes.
Certains contrats impliqués restaient en source fermée et non vérifiés lors du déploiement.
Matcha Meta a ensuite confirmé que les contrats principaux 0x n’étaient pas affectés par l’incident.
Les utilisateurs s’appuyant sur des autorisations d’un seul coup via l’infrastructure 0x sont restés indemnes.
L’incident a relancé la vigilance concernant les autorisations persistantes de jetons dans la finance décentralisée.
Les permissions illimitées offrent de la commodité mais augmentent l’exposition en cas de défaillance des contrats intelligents.
Par ailleurs, l’enquêteur on-chain ZachXBT a critiqué la réponse tardive de Circle pour geler le reste des USDC. Environ 3 millions de dollars seraient restés à des adresses éligibles au gel pendant la période de réponse.
La faille s’ajoute à une liste croissante de défaillances de sécurité dans la DeFi au début de 2026. Les données du secteur montrent que les fonds cryptographiques volés ont atteint des niveaux record ces dernières années, augmentant la pression sur les pratiques de sécurité des protocoles.
|
| AVERTISSEMENT : Les informations présentes sur ce site sont fournies à titre de commentaire général sur le marché et ne constituent pas un conseil en investissement. Nous vous encourageons à faire vos propres recherches avant d’investir. |
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
La police indienne arrête le fondateur de CoinDCX, la plateforme prétend que la plainte est menée par un imposteur
Le fondateur de l'échange de crypto-monnaies indien CoinDCX a été arrêté par la police pour suspicion de fraude. L'incident provient d'une plainte d'un conseiller en assurance qui affirme avoir subi des pertes sur un site non officiel. CoinDCX nie les accusations, affirmant que les actes frauduleux ont été commis par des sites contrefaits, et déclare avoir signalé plusieurs faux sites. Cette arrestation est le deuxième incident policier de l'entreprise au cours de la dernière année.
MarketWhisperIl y a 4h
Fluid obtient un prêt à court terme pour couvrir 100 % de la dette non performante du protocole, sécurisant les fonds des utilisateurs
L'équipe Fluid a obtenu un prêt à court terme, couvrant 100% de la dette non performante, garantissant la sécurité des fonds des utilisateurs. ResolvLabs traitera la position USR avant l'incident de sécurité, les investisseurs ayant l'intention d'augmenter leurs positions FLUID pour renforcer la protection. Les contrats intelligents fonctionnent normalement, les opérations de marché sont stables, avec une possible volatilité des taux d'intérêt.
GateNewsIl y a 4h
Resolv subit une perte de 80M $USR alors que les exploitants acheminent les fonds via les principaux DEX
Le réseau Resolv a subi un exploit majeur, drainant 80M $USR tokens. Les attaquants ont rapidement échangé les actifs volés à travers des bourses décentralisées pour couvrir leurs traces. La plateforme a interrompu ses opérations et enquête sur les efforts de récupération tout en exhortant les utilisateurs à rester vigilants.
BlockChainReporterIl y a 19h
Fluid suspend les échanges du marché USR en raison de l'incident de piratage de Resolv, s'engageant à compenser intégralement les créances douteuses potentielles
Gate News rapporte que le 22 mars, le protocole DeFi Fluid a publié un avis déclarant qu'il a été informé de l'incident de piratage Resolv. Le mécanisme de limite automatique de Fluid a empêché les emprunts excessifs de fonds, le marché USR a suspendu les transactions et la situation est maîtrisée. Fluid a déclaré que si des créances irrécouvrables subsistent sur le protocole, toutes les pertes des utilisateurs seront entièrement compensées. La sécurité des fonds des utilisateurs et du protocole est la priorité absolue de Fluid. Un examen complet est actuellement en cours, et un rapport d'analyse détaillé sera publié à la fin de l'enquête.
GateNewsIl y a 20h
Un CEX coréen soutient la réélection du PDG en exercice, qui avait précédemment fait face à des sanctions réglementaires en raison d'erreurs opérationnelles
La deuxième plus grande plateforme d'échange de crypto-monnaies en Corée du Sud insiste toujours pour reconduire le PDG Lee Jae-won, malgré les controverses auxquelles la plateforme est confrontée suite à un incident de mauvais envoi de bitcoin et à des sanctions réglementaires. Malgré les défauts majeurs révélés, la bourse a choisi de maintenir la stabilité opérationnelle plutôt que de procéder à une restructuration de la direction.
GateNewsIl y a 21h
Après l'IPO, les rêves se brisent ! Gemini est poursuivi collectivement pour « induire les investisseurs en erreur », le cours de l'action chute de 80% et l'entreprise procède à des licenciements de 25% et se retire de plusieurs pays
L'échange de crypto-monnaies Gemini fait face à sa plus grande crise depuis son introduction en bourse, accusé d'avoir fourni des informations fausses dans ses documents d'inscription, entraînant une chute de 80% du cours de l'action et des pertes substantielles. L'entreprise a annoncé une réduction de 25% de ses effectifs et un retrait de plusieurs marchés internationaux, suscitant de graves préoccupations du marché quant à ses activités. Cet incident pourrait également affecter le processus d'introduction en bourse des futures entreprises de crypto-monnaies.
動區BlockTempo03-20 12:35
