Millones se pierden tras una brecha de seguridad en Matcha Meta

Cointurk2026/01/26 08:11

Mostrar el original

Por:Cointurk

El agregador de exchanges descentralizados Matcha Meta se ha visto envuelto en una controversia tras una brecha de seguridad durante la integración de SwapNet. Este incidente salió a la luz cuando se detectaron actividades on-chain un domingo, lo que llevó a varias firmas de seguridad a ofrecer estimaciones divergentes sobre el alcance de las pérdidas financieras. Los primeros hallazgos sugirieron que el atacante trasladó activos USDC desde la red Base hacia Ethereum. El equipo del proyecto no ofreció una imagen clara respecto al estado de los fondos de los usuarios.

¿Cómo se detectó la brecha de SwapNet? Autorizaciones de usuarios y el impacto en la industria

¿Cómo se detectó la brecha de SwapNet?

El primer informe, basado en análisis on-chain, fue compartido por PeckShield, revelando que se habían drenado ilícitamente activos por un valor aproximado de 16,8 millones de dólares. Los datos indicaron que el atacante intercambió 10,5 millones de dólares en USDC en la red Base para adquirir cerca de 3.655 ETH y posteriormente los transfirió a la red de Ethereum. La rapidez de estas transacciones sugería un escenario de explotación automatizada.

Otra firma de seguridad, CertiK, publicó una evaluación preliminar estimando la pérdida en alrededor de 13,3 millones de dólares. Según CertiK, la vulnerabilidad surgió de un problema de “llamada arbitraria” dentro del contrato de SwapNet, lo que permitió al atacante transferir fondos autorizados. La discrepancia en las cifras entre los dos informes se debió a transacciones adicionales detectadas durante el proceso de bridging y a diferencias metodológicas.

En su respuesta inicial, Matcha Meta afirmó que las cuentas que utilizaban la función de Aprobación Única (One-Time Approval) no se vieron afectadas, y que solo aquellas que autorizaban contratos directamente enfrentaron riesgos. El proyecto limitó el alcance del ataque en base a este marco.

Autorizaciones de usuarios y el impacto en la industria

Tras el incidente, Matcha Meta anunció su investigación en colaboración con el equipo de 0x, aclarando que el problema no estaba vinculado a los contratos AllowanceHolder o Settler de 0x. El comunicado enfatizó que otorgar autorización directa a contratos individuales de agregadores implica riesgos adicionales para los usuarios. Por ese motivo, se eliminó la opción de autorización directa para evitar que sucesos similares se repitan.

Aun cuando Matcha Meta todavía no ha emitido una nueva actualización de estado, la industria en general está cada vez más preocupada por la oleada creciente de ataques. Los datos de Chainalysis mostraron que los robos de criptomonedas superaron los 3.410 millones de dólares en 2025. Un solo ataque a Bybit, por un monto de 1.500 millones de dólares, representó casi la mitad de las pérdidas anuales.

Expertos sostienen que el caso de Matcha Meta resalta la necesidad de alinear los mecanismos de permisos diseñados para mejorar la experiencia del usuario con arquitecturas de seguridad robustas. A medida que los puentes cross-chain y los contratos agregadores se vuelven más comunes, la superficie de ataque se expande, intensificando el debate sobre cómo los riesgos se transfieren a los usuarios finales.

Descargo de responsabilidad: El contenido de este artículo refleja únicamente la opinión del autor y no representa en modo alguno a la plataforma. Este artículo no se pretende servir de referencia para tomar decisiones de inversión.

PoolX: Haz staking y gana nuevos tokens.

APR de hasta 12%. Gana más airdrop bloqueando más.

¡Bloquea ahora!