Millionen gehen verloren, als eine Sicherheitslücke Matcha Meta trifft

Wie wurde der SwapNet-Sicherheitsverstoß entdeckt?

Der erste Bericht, basierend auf On-Chain-Analysen, wurde von PeckShield veröffentlicht und zeigte, dass Vermögenswerte im Wert von etwa 16,8 Millionen US-Dollar unrechtmäßig abgezogen wurden. Die Daten belegten, dass der Angreifer 10,5 Millionen US-Dollar in USDC im Base-Netzwerk gegen etwa 3.655 ETH tauschte und diese anschließend ins Ethereum-Netzwerk bridgte. Die hohe Geschwindigkeit dieser Transaktionen deutete auf ein automatisiertes Ausnutzungsszenario hin.

Ein weiteres Sicherheitsunternehmen, CertiK, veröffentlichte eine frühere Einschätzung, die den Verlust auf etwa 13,3 Millionen US-Dollar bezifferte. Laut CertiK resultierte die Schwachstelle aus einem Problem mit „arbitrary call“ innerhalb des SwapNet-Vertrags, das es dem Angreifer ermöglichte, autorisierte Gelder zu transferieren. Die Abweichung der Zahlen zwischen beiden Berichten ergab sich aus zusätzlichen, während des Bridgings festgestellten Transaktionen sowie methodischen Unterschieden.

In seiner ersten Reaktion erklärte Matcha Meta, dass Konten, die die One-Time Approval-Funktion nutzten, nicht betroffen seien, sondern nur solche, die Verträge direkt autorisierten, Risiken ausgesetzt waren. Das Projekt begrenzte den Umfang des Angriffs anhand dieses Rahmens.

Nutzerautorisierungen und Auswirkungen auf die Branche

Nach dem Vorfall kündigte Matcha Meta an, die Untersuchung in Zusammenarbeit mit dem 0x-Team durchzuführen, und stellte klar, dass das Problem nicht mit den AllowanceHolder- oder Settler-Verträgen von 0x zusammenhing. In der Stellungnahme wurde betont, dass die direkte Autorisierung einzelner Aggregator-Verträge für Nutzer zusätzliche Risiken birgt. Daher wurde die Option zur direkten Autorisierung entfernt, um ähnliche Vorfälle zukünftig zu verhindern.

Auch wenn Matcha Meta bisher kein neues Status-Update veröffentlicht hat, wächst in der gesamten Branche die Besorgnis über die zunehmende Angriffswelle. Chainalysis-Daten zeigen, dass Diebstähle von Kryptowährungen im Jahr 2025 die Marke von 3,41 Milliarden US-Dollar überstiegen haben. Ein einzelner Angriff auf Bybit in Höhe von 1,5 Milliarden US-Dollar machte fast die Hälfte der jährlichen Verluste aus.

Experten sind der Ansicht, dass der Fall Matcha Meta die Notwendigkeit hervorhebt, Berechtigungsmechanismen, die zur Verbesserung der Nutzererfahrung entwickelt wurden, mit robusten Sicherheitsarchitekturen in Einklang zu bringen. Da Cross-Chain-Bridging und Aggregator-Verträge immer häufiger eingesetzt werden, vergrößert sich die Angriffsfläche, was die Diskussion darüber intensiviert, wie Risiken auf Endnutzer übertragen werden.