Миллионы утекают из-за нарушения безопасности на Matcha Meta

Как было обнаружено нарушение безопасности в SwapNet?

Первый отчет, основанный на анализе блокчейна, был опубликован компанией PeckShield и показал, что было незаконно выведено активов примерно на 16,8 миллиона долларов. Данные свидетельствовали о том, что злоумышленник обменял 10,5 миллиона долларов в USDC в сети Base на примерно 3 655 ETH и затем перебросил их в сеть Ethereum. Быстрота этих транзакций указывала на автоматизированный характер атаки.

Другая компания по кибербезопасности, CertiK, опубликовала более раннюю оценку, согласно которой потери составили около 13,3 миллиона долларов. По данным CertiK, уязвимость возникла из-за проблемы с “arbitrary call” в контракте SwapNet, позволившей злоумышленнику перевести авторизованные средства. Разница в оценках двух отчетов объясняется дополнительными транзакциями, выявленными в процессе кроссчейн-бриджа, а также различиями в методологиях подсчета.

В своем первом заявлении Matcha Meta утверждала, что аккаунты, использующие функцию One-Time Approval, не пострадали, а риску подверглись только те, кто предоставил прямую авторизацию контрактам. На этом основании проект ограничил масштаб атаки.

Авторизации пользователей и влияние на индустрию

После инцидента Matcha Meta объявила о начале расследования совместно с командой 0x, подчеркнув, что проблема не связана с контрактами AllowanceHolder или Settler от 0x. В заявлении отмечалось, что предоставление прямой авторизации отдельным контрактам-агрегаторам создает дополнительные риски для пользователей. В связи с этим опция прямой авторизации была удалена во избежание подобных инцидентов в будущем.

Несмотря на то, что Matcha Meta пока не опубликовала новый статус, в индустрии усиливается обеспокоенность ростом числа атак. По данным Chainalysis, кражи в сфере криптовалют превысили 3,41 миллиарда долларов в 2025 году. Одна только атака на Bybit, составившая 1,5 миллиарда долларов, обеспечила почти половину годовых потерь.

Эксперты считают, что случай с Matcha Meta подчеркивает необходимость согласования механизмов разрешений, созданных для улучшения пользовательского опыта, с надежной архитектурой безопасности. По мере того как кроссчейн-бриджи и агрегаторные контракты становятся все более распространёнными, увеличивается и поверхность для атак, что усиливает дискуссии о том, как риски могут быть перенесены на конечных пользователей.