数百万が消失、Matcha Metaでセキュリティ侵害発生

SwapNetの侵害はどのように検出されたのか？

オンチェーン分析に基づく最初の報告はPeckShieldによって共有され、約1,680万ドル相当の資産が不正に流出したことが明らかになりました。データによると、攻撃者はBaseネットワーク上で1,050万ドル相当のUSDCを3,655ETHにスワップし、その後Ethereumネットワークにブリッジしました。これらのトランザクションの迅速な実行は、自動化されたエクスプロイトシナリオを示唆しています。

別のセキュリティ企業であるCertiKは、約1,330万ドルの損失と見積もるより早い評価を発表しました。CertiKによれば、脆弱性はSwapNetコントラクト内の「任意コール」問題に起因しており、攻撃者が認可された資金を移転できる状態になっていました。2つの報告の数字の差異は、ブリッジングプロセス中に検出された追加トランザクションや手法の違いによるものです。

Matcha Metaは初期対応で、One-Time Approval機能を使用したアカウントは影響を受けておらず、コントラクトに直接認可を与えたユーザーのみがリスクに直面したと主張しました。プロジェクトはこの枠組みに基づき攻撃の範囲を限定しました。

ユーザーの認可と業界への影響

事件後、Matcha Metaは0xチームと協力して調査を行っていると発表し、問題が0xのAllowanceHolderやSettlerコントラクトとは無関係であることを明確にしました。声明では、個別のアグリゲーターコントラクトへの直接認可がユーザーにとって追加のリスクをもたらすと強調しています。そのため、同様の事象を防ぐために直接認可オプションが削除されました。

Matcha Metaが新たな状況報告を出していない一方で、業界全体では攻撃の増加傾向に対する懸念が高まっています。Chainalysisのデータによれば、暗号資産の盗難は2025年に341億ドルを超えました。Bybitでの単一の攻撃が15億ドルに上り、年間損失のほぼ半分を占めています。

専門家は、Matcha Metaの事例がユーザー体験向上のために設計された認可メカニズムと堅牢なセキュリティアーキテクチャとの整合性の重要性を浮き彫りにしていると指摘しています。クロスチェーンブリッジやアグリゲーターコントラクトが普及するにつれ、攻撃対象面が拡大し、リスクがエンドユーザーに転嫁される仕組みについての議論が活発化しています。