Проекты Aperture Finance и Matcha Meta стали жертвами масштабных атак на смарт-контракты, в результате которых общие потери пользователей превысили $30 млн. Инциденты произошли 26 января 2026 года и продемонстрировали растущую угрозу уязвимостей, связанных с разрешениями на управление активами.
Атака на Aperture Finance была зафиксирована утром 26 января. Эксплойт затронул смарт-контракты версий V3 и V4 на блокчейнах Ethereum, BNB Chain, Arbitrum и Base. Злоумышленники использовали уязвимость в механизме валидации входных данных, что позволяло совершать произвольные внешние вызовы и выводить средства пользователей, ранее предоставивших разрешения контракту. По оценкам аналитиков, общие потери составили около $17 млн.
Команда Aperture Finance оперативно отключила ключевые функции фронтенда, чтобы предотвратить новые разрешения, и призвала пользователей немедленно отозвать доступ к уязвимому контракту на Ethereum (адрес: 0xD83d960deBEC397fB149b51F8F37DD3B5CFA8913). Расследование проводится совместно с внешними партнерами по безопасности. Атака не использовала flash-займы, а полагалась на ранее выданные пользователями разрешения, что сделало уязвимыми даже неактивные кошельки.
Параллельно, агрегатор децентрализованных бирж Matcha Meta сообщил об инциденте в своей интеграции SwapNet. По данным PeckShield, злоумышленник похитил примерно $16,8 млн, конвертировав около $10,5 млн в USDC на Base в 3,655 ETH перед переводом средств в сеть Ethereum. CertiK оценил потери в $13,3 млн. Уязвимость также была классифицирована как «произвольный вызов» в контракте SwapNet.
Matcha Meta уточнил, что инцидент затронул только пользователей, отключивших функцию «однократного подтверждения» (One-Time Approval) и установивших прямые разрешения на отдельных контрактах агрегаторов. Компания удалила возможность прямого предоставления разрешений агрегаторам. Расследование показало, что проблема не связана с контрактами AllowanceHolder или Settler протокола 0x.
Эти события происходят на фоне роста хакерской активности в криптоиндустрии. По данным Chainalysis, в 2025 году общий объем краж криптовалют превысил $3,41 млрд, причем группа, связанная с Северной Кореей, похитила рекордные $2,02 млрд.
