Matcha Meta supprime les autorisations directes après l'exploitation de SwapNet à 16,8 millions de dollars alors que les piratages crypto augmentent

L’exploit de SwapNet met en évidence les risques liés aux contrats intelligents alors que le vol de cryptomonnaies dépasse 3,41 milliards de dollars, principalement en raison de mouvements cross-chain et d’approbations faibles.

L’agrégateur d’échanges décentralisés Matcha Meta a signalé un incident de sécurité lié à son intégration SwapNet. Selon plusieurs observateurs onchain, des acteurs malveillants ont retiré des actifs cryptographiques d’une valeur d’environ 16,8 millions de dollars après une attaque ciblant la faiblesse du contrat intelligent de la plateforme.

Exploit de l’intégration SwapNet déclenche un incident de sécurité chez Matcha Meta

Dans un avis publié lundi, Matcha Meta a expliqué avoir été victime d’une brèche de sécurité la veille. Selon la divulgation, des attaquants ont déplacé des actifs numériques depuis un agrégateur externe lié à l’interface de Matcha Meta, SwapNet.

Après avoir consulté l’équipe du protocole 0x, nous avons confirmé que la nature de l’incident n’était pas liée aux contrats AllowanceHolder ou Settler de 0x.

Les utilisateurs ayant interagi avec Matcha Meta via une Approbation Unique sont donc en sécurité.

Les utilisateurs ayant désactivé l’Approbation Unique… https://t.co/VQVmj4LL0F

— Matcha Meta 🎆 (@matchametaxyz) 25 janvier 2026

La plateforme a indiqué avoir repéré les mouvements suspects après avoir constaté des transferts importants et non autorisés depuis le contrat de routage de SwapNet. Dans le communiqué, MM a confirmé avoir contacté l’équipe de SwapNet pour désactiver temporairement ses contrats.

Selon des rapports de la société de sécurité blockchain PeckShield, les pertes dues à la brèche sont estimées à environ 16,8 millions de dollars. L’analyse a montré que l’attaquant a échangé environ 10,5 millions de dollars en USDC sur Base contre environ 3 655 ETH. Par la suite, les fonds ont été transférés vers Ethereum.

Par ailleurs, CertiK a précédemment estimé la perte à près de 13,3 millions de dollars en USDC sur Base. CertiK a relié l’attaque à une vulnérabilité d’« appel arbitraire » dans le contrat SwapNet, qui permettait de transférer des fonds préalablement approuvés vers le contrat.

Matcha Meta n’a pas confirmé si les fonds des utilisateurs ont été entièrement perdus. Un premier communiqué indiquait que l’exposition était limitée aux utilisateurs ayant désactivé les Approvals Unique et ayant plutôt défini des autorisations directes sur des contrats d’agrégateurs spécifiques. Le protocole a ajouté que les comptes utilisant l’Approvisionnement Unique n’ont pas été affectés.

Mais après une revue avec l’équipe du protocole chez 0x, Matcha Meta a précisé que le problème ne concernait pas les contrats AllowanceHolder ou Settler de 0x.

L’équipe a clarifié que les utilisateurs désactivant l’Approvisionnement Unique et se fiant aux autorisations directes prennent un risque supplémentaire lié à chaque agrégateur. Matcha Meta a ajouté qu’il a supprimé l’option de définir des autorisations directes sur les agrégateurs pour éviter des incidents similaires.

Les failles des contrats intelligents et le blanchiment cross-chain alimentent la hausse des piratages cryptographiques

Avec la croissance croissante du marché des cryptomonnaies, les violations de sécurité continuent de mettre la pression sur les projets et plateformes du secteur. Selon Chainalysis, le vol lié à la cryptomonnaie a dépassé 3,41 milliards de dollars en 2025, légèrement supérieur à l’année précédente.

Une grande part de cette activité illicite impliquait des mouvements rapides d’actifs entre chaînes et des services conçus pour obscurcir les traces des transactions.

Fait intéressant, une recherche d’Elliptic montre que de nombreuses opérations de blanchiment s’appuient désormais sur des services d’échange de coins. Ces services fonctionnent souvent via des sites web autonomes ou des chaînes Telegram, permettant aux attaquants de déplacer rapidement des fonds volés.

Des risques similaires ont resurgi l’année dernière lorsque l’agrégateur d’échanges décentralisés CoWSwap a signalé une brèche. Lors de cette attaque onchain, environ 180 000 dollars en DAI ont été retirés via le contrat intelligent GPv2Settlement.

Comme l’ont observé les observateurs du marché, les failles des contrats intelligents restent une cause majeure de pertes. SlowMist a rapporté que les vulnérabilités des contrats représentaient un peu plus de 30 % des exploits cryptographiques en 2025.

_Source de l’image : _SlowMist

De plus, des experts ont souligné que les avancées en technologie d’IA constituent un autre facteur favorisant l’exploitation active. L’intelligence artificielle facilite la découverte de vulnérabilités et l’exploitation active.

Un seul piratage de 1,5 milliard de dollars de Bybit a représenté 44 % de toutes les pertes de l’année dernière. Par ailleurs, des groupes liés à la Corée du Nord ont volé un montant record de 2,02 milliards de dollars.

Depuis le début de l’année, les plateformes axées sur la cryptomonnaie ont connu une recrudescence d’attaques. Le protocole DeFi Makina Finance a perdu environ 4,13 millions de dollars après que des hackers ont drainé sa piscine DUSD/USDC sur Curve. Peu de temps après, le réseau Layer-1 Saga a suspendu sa chaîne SagaEVM suite à une exploitation qui a déplacé près de 7 millions de dollars d’actifs vers Ethereum.

Image de Clint Patterson provenant de Unsplash