Индустрия децентрализованных финансов (DeFi) столкнулась с очередным серьёзным взломом. Агрегатор децентрализованных бирж (DEX) SwapNet стал жертвой эксплойта смарт-контракта, в результате которого злоумышленник вывел криптоактивы на сумму около $16,8 млн. Инцидент произошёл 25-26 января 2026 года и был связан с интеграцией SwapNet в мета-агрегатор Matcha Meta, разработанный командой 0x.
По данным аналитиков PeckShield, атака была осуществлена через активность, связанную с SwapNet и доступную через интерфейс Matcha Meta. Злоумышленник действовал в сети Base, где обменял примерно $10,5 млн в стейблкоине USDC на 3 655 ETH, после чего начал выводить средства через мост в основную сеть Ethereum, что является стандартной тактикой для затруднения отслеживания.
Команда Matcha Meta в своём заявлении подчеркнула, что уязвимость возникла не в её основной инфраструктуре. Проблема затронула только тех пользователей, которые отключили систему «одноразовых подтверждений» (One-Time Approvals) — функцию безопасности от 0x, предназначенную для ограничения постоянных разрешений на использование токенов. Отключив эту опцию, пользователи предоставили прямые разрешения базовым контрактам агрегаторов, включая роутер SwapNet, который и стал вектором атаки.
Matcha Meta призвала пользователей немедленно отозвать разрешения, выданные отдельным агрегаторам вне системы One-Time Approvals, особенно выделив контракт роутера SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e). Команда SwapNet временно отключила затронутые контракты, пока ведётся расследование. На момент публикации новости технический отчёт (post-mortem) или планы по компенсации пострадавшим пользователям не были представлены.
Этот инцидент высветил извечный компромисс в DeFi между удобством и безопасностью. Постоянные (unlimited) разрешения ускоряют торговлю, но создают долгосрочные риски, если смарт-контракт оказывается уязвимым.
В тот же день был зафиксирован ещё один инцидент на Ethereum: эксплойт неверифицированного, закрытого контракта привёл к потере около 37 WBTC (свыше $3,1 млн). Вместе эти случаи указывают на сохраняющиеся уязвимости в DeFi, связанные с неверифицированным кодом, постоянными разрешениями и сложными слоями маршрутизации, возлагая дополнительную ответственность как на разработчиков, так и на пользователей.
