ملايين الدولارات تضيع بسبب خرق أمني يضرب Matcha Meta

كيف تم اكتشاف اختراق SwapNet؟

تم نشر أول تقرير، استناداً إلى تحليلات على السلسلة، من قبل PeckShield، كاشفاً أنه تم سحب أصول غير مشروعة بقيمة تقارب 16.8 مليون دولار. وأظهرت البيانات أن المهاجم قام بتحويل 10.5 مليون دولار من USDC على شبكة Base لشراء حوالي 3,655 ETH ثم نقلها عبر الجسر إلى شبكة Ethereum. سرعة هذه المعاملات أشارت إلى وجود سيناريو استغلال آلي.

شركة أمنية أخرى، CertiK، أصدرت تقييماً سابقاً قدرت فيه الخسارة بحوالي 13.3 مليون دولار. ووفقاً لـ CertiK، فإن الثغرة تعود إلى مشكلة “استدعاء تعسفي” ضمن عقد SwapNet، مما مكن المهاجم من نقل الأموال المفوضة. واختلاف الأرقام بين التقريرين جاء نتيجة اكتشاف معاملات إضافية أثناء عملية الجسر، إضافة إلى اختلاف في المنهجية.

في استجابتها الأولية، ادعت Matcha Meta أن الحسابات التي تستخدم ميزة الموافقة لمرة واحدة One-Time Approval لم تتأثر، وأن الخطر كان على من منحوا الإذن للعقود مباشرة. وبناءً على ذلك، تم حصر نطاق الهجوم ضمن هذا الإطار.

تفويضات المستخدمين وتأثيرها على القطاع

عقب الحادثة، أعلنت Matcha Meta عن فتح تحقيق بالتعاون مع فريق 0x، موضحة أن المشكلة لا تتعلق بعقود AllowanceHolder أو Settler الخاصة بـ 0x. وأكد البيان أن منح التفويض المباشر لعقود المجمعين الفردية يشكل مخاطر إضافية على المستخدمين. لذلك، تمت إزالة خيار التفويض المباشر لمنع تكرار الحوادث المشابهة.

ورغم أن Matcha Meta لم تصدر تحديثاً جديداً، إلا أن القطاع بشكل عام أصبح أكثر قلقاً بشأن تصاعد الهجمات. أظهرت بيانات Chainalysis أن سرقات العملات الرقمية تجاوزت 3.41 مليار دولار في عام 2025. وشكل هجوم واحد على Bybit بقيمة 1.5 مليار دولار ما يقارب نصف الخسائر السنوية.

ويرى الخبراء أن حالة Matcha Meta تؤكد ضرورة مواءمة آليات التفويض المصممة لتحسين تجربة المستخدم مع بنى أمنية قوية. ومع انتشار جسور الشبكات والعقود المجمعة، يتوسع سطح الهجوم، مما يزيد من حدة النقاشات حول كيفية انتقال المخاطر إلى المستخدمين النهائيين.