En Bref
- L’exploitation de SwapNet entraîne un drain de 16,8 millions de dollars après que les utilisateurs ont désactivé les protections d’autorisation unique.
- L’attaquant a échangé 10,5 millions de USDC contre de l’ETH sur Base avant de le transférer vers Ethereum.
- Matcha Meta désactive les contrats affectés alors que des cabinets de sécurité signalent des risques plus larges dans la DeFi.
Une faille de sécurité liée à SwapNet a entraîné une perte d’environ 16,8 millions de dollars, affectant les utilisateurs interagissant via Matcha Meta. L’incident a principalement concerné les utilisateurs ayant désactivé les autorisations uniques, exposant ainsi des permissions de jetons persistantes.
La société de sécurité blockchain PeckShieldAlert a identifié l’exploitation et tracé les mouvements initiaux des fonds. L’attaquant a ciblé les contrats de routeur SwapNet qui conservaient des autorisations illimitées provenant des portefeuilles des utilisateurs affectés.
Sur le réseau Base, l’attaquant a échangé environ 10,5 millions de dollars en USDC contre environ 3 655 ETH. Peu de temps après, l’attaquant a commencé à transférer les actifs convertis vers le réseau principal Ethereum pour compliquer le suivi.
SwapNet fonctionne comme un routeur de liquidité utilisé par Matcha Meta pour obtenir des prix et une liquidité profonde. L’exploitation a impliqué l’abus des autorisations existantes plutôt que la violation des clés privées ou de l’infrastructure principale.
Matcha Meta, développé par l’équipe 0x, a confirmé le problème et a immédiatement désactivé les contrats SwapNet affectés. La plateforme a également supprimé l’option permettant aux utilisateurs d’accorder des autorisations directes à des agrégateurs tiers.
L’enquête s’élargit alors que des cabinets de sécurité signalent des risques plus importants
Une analyse plus approfondie a suggéré que l’exploitation provenait d’une vulnérabilité d’appel arbitraire dans les contrats SwapNet. Ce défaut permettait aux attaquants de transférer des jetons approuvés sans demander de nouvelles permissions.
La société de sécurité BlockSec a rapporté que plusieurs contrats sur différentes chaînes ont subi des pertes dépassant 17 millions de dollars. Les réseaux affectés comprenaient Ethereum, Arbitrum, Base et BNB Chain, ce qui augmente la portée de l’incident.
Par ailleurs, CertiK a estimé que près de 13,3 millions de dollars en USDC avaient été volés dans le cadre d’activités connexes.
Certains contrats impliqués restaient en source fermée et non vérifiés lors du déploiement.
Matcha Meta a ensuite confirmé que les contrats principaux 0x n’étaient pas affectés par l’incident.
Les utilisateurs s’appuyant sur des autorisations d’un seul coup via l’infrastructure 0x sont restés indemnes.
L’incident a relancé la vigilance concernant les autorisations persistantes de jetons dans la finance décentralisée.
Les permissions illimitées offrent de la commodité mais augmentent l’exposition en cas de défaillance des contrats intelligents.
Par ailleurs, l’enquêteur on-chain ZachXBT a critiqué la réponse tardive de Circle pour geler le reste des USDC. Environ 3 millions de dollars seraient restés à des adresses éligibles au gel pendant la période de réponse.
La faille s’ajoute à une liste croissante de défaillances de sécurité dans la DeFi au début de 2026. Les données du secteur montrent que les fonds cryptographiques volés ont atteint des niveaux record ces dernières années, augmentant la pression sur les pratiques de sécurité des protocoles.
|
| AVERTISSEMENT : Les informations présentes sur ce site sont fournies à titre de commentaire général sur le marché et ne constituent pas un conseil en investissement. Nous vous encourageons à faire vos propres recherches avant d’investir. |
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
La FIU sud-coréenne envisage d'imposer une suspension partielle de 6 mois à un CEX
Gate News, le 9 mars, l'Institut d'Analyse Financière de Corée (FIU) a annoncé qu'il avait pris des mesures contre un certain CEX pour violation de la Loi sur les Informations Financières sur les Transactions Spécifiques, pour avoir effectué des transactions avec des fournisseurs de services d'actifs virtuels étrangers non déclarés et pour un contrôle KYC insuffisant. Une suspension partielle de ses activités de six mois a été imposée, et les responsables concernés ont été tenus responsables. Ces mesures restrictives visent principalement la fonction de transfert d'actifs virtuels pour les nouveaux utilisateurs, tandis que les dépôts, retraits et transactions en won coréen et en actifs cryptographiques des utilisateurs existants ne sont pas affectés pour le moment.
GateNewsIl y a 9h
Suspension des dépôts et retraits, plainte d'un client ! La société de trading de cryptomonnaies BlockFills cherche à se restructurer
La société de cryptomonnaie BlockFills suspend les dépôts et retraits des clients en raison de l'aggravation de la situation du marché et de litiges juridiques. Elle évalue un plan de restructuration de la dette et a engagé des conseillers pour l'assister. Face à la plainte de Dominion Capital et à une ordonnance de restriction temporaire du tribunal, BlockFills cherche à se restructurer et à améliorer ses mécanismes financiers et de gouvernance.
区块客Il y a 10h
La Fondation Flow cherche à obtenir une injonction judiciaire pour empêcher la bourse sud-coréenne de retirer le FLOW de la liste
La Flow Foundation et Dapper Labs ont déposé une demande auprès du tribunal de Séoul pour suspendre le retrait de FLOW sur les principales plateformes d'échange, suite à une interruption des échanges causée par un incident de cybersécurité. Bien que l'incident n'ait pas affecté les soldes des utilisateurs, il a suscité des inquiétudes concernant la liquidité de FLOW et la confiance des investisseurs. Le tribunal examinera cette demande.
GateNewsIl y a 14h
Des recherches indiquent que la transition vers la cryptographie post-quantique pourrait entraîner l'obsolescence de l'architecture des portefeuilles des échanges cryptographiques.
Project Eleven Les dernières recherches indiquent qu'avec la cryptographie post-quantique, la méthode actuelle de génération d'adresses utilisée par les échanges cryptographiques pourrait devenir obsolète. Les études montrent que les systèmes basés sur des portefeuilles déterministes hiérarchiques ne peuvent pas fonctionner selon les nouvelles normes, et les échanges ne pourront pas générer de nouvelles adresses à partir de la clé publique.
GateNewsIl y a 15h
La fondation Flow dépose une plainte d'urgence pour empêcher la délistation en Corée ! Le jeton FLOW chute de 75%
La fondation Flow a déposé une demande auprès du tribunal coréen pour suspendre le plan de retrait du FLOW des principales bourses, arguant que d'autres échanges mondiaux ont repris leur support après l'incident. L'incident de sécurité a entraîné une chute de 75 % du prix du FLOW, affectant son approvisionnement sur le marché et sa réputation, bien que le jeton reste négociable sur d'autres marchés. Si la demande auprès du tribunal échoue, cela pourrait affecter la liquidité de FLOW en Corée.
MarketWhisperIl y a 15h
La plateforme de prêt en cryptomonnaie BlockFills suspend ses retraits et cherche à se restructurer, poursuivie par des clients
BlockFills sollicite des conseils en restructuration auprès de la société de conseil BRG et nomme Mark Renzi au poste de directeur de la transformation, dans le but de finaliser la restructuration, d'injecter de nouveaux capitaux et de mettre en œuvre des contrôles de gouvernance. La société a récemment suspendu ses dépôts et retraits en raison de la volatilité du marché et fait face à des poursuites judiciaires.
GateNews03-08 01:23
