Milhões desaparecem após violação de segurança atingir Matcha Meta

Cointurk2026/01/26 08:11

Mostrar original

Por:Cointurk

O agregador de exchanges descentralizadas Matcha Meta se viu envolvido em controvérsias após uma violação de segurança durante a integração do SwapNet. O incidente veio à tona quando atividades on-chain foram notadas em um domingo, levando diversas empresas de segurança a fornecer estimativas divergentes sobre a extensão das perdas financeiras. As descobertas iniciais sugeriram que o atacante transferiu ativos USDC da rede Base para a Ethereum. A equipe do projeto não forneceu uma visão clara sobre o status dos fundos dos usuários.

Como a violação do SwapNet foi detectada? Autorizações de usuários e impacto na indústria

Como a violação do SwapNet foi detectada?

O primeiro relatório, baseado em análises on-chain, foi divulgado pela PeckShield, revelando que aproximadamente US$ 16,8 milhões em ativos foram drenados de forma ilícita. Os dados indicaram que o atacante trocou US$ 10,5 milhões em USDC na rede Base para adquirir cerca de 3.655 ETH e, posteriormente, transferiu-os para a rede Ethereum. O ritmo acelerado dessas transações sugeriu um cenário de exploração automatizada.

Outra empresa de segurança, a CertiK, publicou uma avaliação anterior estimando a perda em cerca de US$ 13,3 milhões. Segundo a CertiK, a vulnerabilidade teve origem em um problema de “arbitrary call” dentro do contrato do SwapNet, permitindo ao atacante transferir fundos autorizados. A discrepância nos valores entre os dois relatórios surgiu devido a transações adicionais detectadas durante o processo de bridging e diferenças metodológicas.

Em sua resposta inicial, a Matcha Meta afirmou que contas utilizando o recurso One-Time Approval não foram afetadas, apenas aquelas que autorizaram contratos diretamente estavam em risco. O projeto limitou o escopo do ataque com base nessa estrutura.

Autorizações de usuários e impacto na indústria

Após o incidente, a Matcha Meta anunciou sua investigação em colaboração com a equipe do 0x, esclarecendo que o problema não estava relacionado aos contratos AllowanceHolder ou Settler do 0x. O comunicado enfatizou que conceder autorização direta a contratos individuais de agregadores representava riscos adicionais para os usuários. Assim, a opção de autorização direta foi removida para evitar ocorrências semelhantes.

Mesmo sem uma nova atualização de status por parte da Matcha Meta, o setor como um todo demonstra crescente preocupação diante da onda de ataques. Dados da Chainalysis mostraram que os roubos de criptomoedas ultrapassaram US$ 3,41 bilhões em 2025. Um único ataque à Bybit, no valor de US$ 1,5 bilhão, representou quase metade das perdas anuais.

Especialistas argumentam que o caso da Matcha Meta destaca a necessidade de alinhar mecanismos de permissão projetados para aprimorar a experiência do usuário com arquiteturas de segurança robustas. À medida que bridging cross-chain e contratos agregadores se tornam mais comuns, a superfície de ataque se expande, intensificando discussões sobre como os riscos são transferidos aos usuários finais.

Aviso Legal: o conteúdo deste artigo reflete exclusivamente a opinião do autor e não representa a plataforma. Este artigo não deve servir como referência para a tomada de decisões de investimento.

PoolX: bloqueie e ganhe!

Até 10% de APR - Quanto mais você bloquear, mais poderá ganhar.

Bloquear agora!