Puntos clave de la noticia:
-
Matcha Meta confirmó un exploit en la integración con SwapNet que generó pérdidas estimadas en $16.8 millones y afectó a ciertas wallets.
-
PeckShield detectó la actividad anómala y CertiK identificó una falla de tipo arbitrary call en el router de SwapNet, que permitía hacer transferencias no autorizadas.
-
El atacante swapeó $10.5 millones en USDC por 3,655 ETH en Base y uso un bridge para neviar los fondos a Ethereum; Matcha suspendió SwapNet y revocó sus permisos.
Matcha Meta confirmó un incidente de seguridad vinculado a su integración con SwapNet que derivó en pérdidas estimadas en $16.8 millones. El episodio quedó circunscrito a un subconjunto específico de usuarios y no comprometió la totalidad de la base de wallets del agregador DEX.
La alerta inicial provino de la firma de seguridad PeckShield, que detectó actividad anómala asociada a los contratos de SwapNet. Posteriormente, CertiK publicó un análisis técnico que identificó una vulnerabilidad concreta en el diseño del router utilizado por la integración. El problema se originó en una falla de tipo “arbitrary call” dentro del contrato de SwapNet, que permitió la ejecución de llamadas no autorizadas.
El exploit impactó exclusivamente a usuarios que habían desactivado la función “One-Time Approval” de Matcha Meta. Al optar por esa configuración, esas wallets otorgaron permisos persistentes directamente al router de SwapNet, en lugar de aprobar cada operación de manera puntual. Esa estructura de aprobaciones dejó habilitada la transferencia de fondos sin una validación adicional por operación.
Según los datos on-chain relevados por las firmas de seguridad, el atacante ejecutó swaps por aproximadamente $10.5 millones en USDC en la red Base. A partir de esas operaciones, obtuvo cerca de 3,655 ETH. Posteriormente, los activos fueron transferidos mediante un bridge hacia la red Ethereum. Los movimientos se realizaron en múltiples transacciones y a través de contratos intermedios.
Matcha Suspendió los Contratos Vinculados a SwapNet
El alcance del incidente quedó limitado a las wallets que permitían las aprobaciones directas activas sobre el router de SwapNet. Los usuarios que conservaron el esquema de aprobaciones de un solo uso no registraron pérdidas. Matcha Meta indicó que el resto de la infraestructura del agregador no presentó fallas adicionales durante el evento.
Tras confirmar el exploit, Matcha Meta suspendió de forma inmediata los contratos vinculados a SwapNet. La plataforma solicitó a los usuarios la revocación manual de las aprobaciones existentes, con énfasis en el router identificado. En paralelo, se eliminó la opción de desactivar el sistema de one-time approval dentro de su interfaz.
Ya se han registrado casos de exploits asociados a contratos de routing y permisos persistentes en agregadores descentralizados. Más allá de confiar en las plataformas, resulta imperante que cada usuario gestione sus capas de protección.
