Matcha Meta kannatab 16,8 miljoni dollari suurusest raha väljavoolust SwapNeti äparduses./

Dezentraliseeritud kauplemisplatvorm Matcha Meta on kõikumises pärast suurt turvarikkumist, mis puudutas tema SwapNeti lepinguid ja viis hinnanguliselt 16,8 miljoni dollari väärtuses varade varguseni.

Kriptovaluutaturvalisuse ettevõte PeckShield tõstis esimesena rikkumise üles, paljastades, et ründaja konverteeris kiiresti suure osa varastatud rahast Ethereumiks ning alustas seejärel varade üleketta sidumist erinevate ahelate vahel.

Rikkumine viis kohese mõjutatud lepingute sulgemiseni, kui Matcha Meta kiirustas edasiste kaotuste piiramiseks. SwapNeti lepingud on nüüd ajutiselt keelatud ja otseste agregaatorite lubadused on platvormilt eemaldatud.

Kuigi uurimised jätkuvad, pole veel selge, kas mõni kasutajate raha on tagasi saadud.

Sündmus toob taas esile kasvavad riskid, mis on seotud püsivate tokenilubaduste ja keerukate agregaatorite infrastruktuuriga DeFi-s.

Ründaja konverteeris miljoneid Base’l enne Ethereumisse üleketta

Plokiahela andmed näitavad, et rikkumine arenes kiiresti.

Ründaja keskendus Base’le, kus umbes 10,5 miljonit USDC-d vahetati lühikese aja jooksul ligi 3655 ETH-ks. Kui konversioon oli lõppenud, viidi raha kiiresti Ethereumisse – see on levinud pesemisrada tänu sügavamale likviidsusele ja laiemale DeFi infrastruktuurile.

Seda skeemi meenutavad paljud hiljutised DeFi rikkumised, kus ründajad:

• Tõmbavad varad nutikatest lepingutest välja

• Konverteerivad need kõrge likviidsusega tokeniteks nagu ETH

• Üleketavad raha võrgustike vahel

• Hämavad jälgimist delegeeritud protokollide abil

Käivitamise kiirus viitab, et ründaja oli hästi valmistunud ja tõenäoliselt jälgis SwapNeti lepingute käitumist väga hoolikalt enne rünnakut.

Turvaanalüütikud jätkavad rahakottide liikumiste jälgimist, kuna raha levib Ethereumi põhistele aadressidele.

SwapNeti lepingud keelatud, kui algab hädaolukorra reageering

Matcha Meta tegutses kiiresti, kui rikkumine ilmsiks tuli.

Meeskond kinnitas, et kõik SwapNeti lepingud on ajutiselt peatatud ja Matcha Metaga seotud agregaatorite lubadused on eemaldatud ettevaatusabinõuna.

Selle hädaolukorra tegevuse eesmärk on takistada igasuguseid edasiseid lubamatuid ülekandeid, samal ajal kui turvameeskonnad analüüsivad rikkumist.

Kuid lepingute keeldmine ei pöördu tagasi juba plokiahelas tehtud tehinguid, mis tähendab, et varastatud raha on tõenäoliselt taastamatu, kui tsentraliseeritud off-rampid ei külmuta varasid hiljem pesemisprotsessi käigus.

Seni pole Matcha Meta kinnitanud, kas kindlustusfondid, hüvitised või taastamispinged rakendatakse kahjustatud kasutajate jaoks.

Platvorm on palunud kõigil kasutajatel kohe üle vaadata ja tühistada olemasolevad tokenilubadused, mis on seotud agregaatoritega.

Püsivad tokenilubadused on tuvastatud kui põhirisk

Rikkumine on taas paljastanud DeFi ühe kõige ohtlikuma disainivea: piiramatud tokenilubadused.

Paljud kasutajad annavad agregaatoritele ja nutikatele lepingutele püsiva volituse tokenite vahetamisel mugavuse huvides. Kuigi see vähendab hõõrdumist, loob see ka püsiva haavatavuse.

Kui pahatahtlik tegija saab ligipääsu nakatunud lepingule või rikkumise teekonnale, võib ta tühjendada heaks kiidetud rahakotte koheselt, ilma et oleks vaja täiendavaid kasutajate allkirju.

Kes on kõige enam ohustatud:

• Kasutajad, kel on pikaajalised lubadused agregaatoritele

• Rahakotid, mis möödavad ühekordsete lubaduste süsteeme

• Kauplejad, kes suhtlevad uuemate nutikate lepingutega

Turvaeksperdid rõhutavad nüüd, et piiramatuid lubadusi tuleks vältida täielikult, eriti kui kasutatakse eksperimentaalset DeFi infrastruktuuri.

Matcha Meta soovitas kasutajatel eriti tühistada kõik SwapNeti ja muude agregaatoritega seotud lubadused, mis ei kuulu 0x One-Time Approval raamistikku.

Kasutajaid palutakse lubadused tühistada ja üle minna ühekordsetele lubadustele

Rikkumise järel levivad krüptoga ühendustes kiired turvaneidud.

Soovitatavad tegevused hõlmavad:

• Tühistage kohe kõik Matcha Meta ja SwapNetiga seotud tokenilubadused

• Vaadake rahakottide lubadusi plokiahelate uurijates või lubaduste haldamise tööriistades

• Kasutage ühekordseid lubadusi tokenite vahetamisel

• Suhtuge ainult usaldusväärsetesse ja auditeeritud agregaatoritesse

Ühekordsed lubadused tagavad, et nutikad lepingud saavad tokeneid kasutada vaid ühe tehingu jaoks, mitte lõputult.

Selline lähenemine vähendab oluliselt riske, isegi kui protokoll hiljem nakatub.

Kui DeFi tegevus muutub keerukamaks, muutub lubade haldamine üha olulisemaks kui privaatvõtmete turvalisus.

DeFi rikkumised kasvavad, kuna rünnakumeetodid muutuvad keerukamaks

Matcha Meta sündmus lisandub 2025. ja 2026. aasta alguse kõrge väärtusega DeFi rikkumiste nimekirja.

Lihtsate nutikate lepingute vigade asemel hõlmavad paljud kaasaegsed rikkumised:

• Lubade kuritarvitamine

• Agregaatorite marsruudi nõrkused

• Mitme ahela üleketta haavatavused

• Likviidsuse manipulatsioon

Ründajad ei toetu enam ainult koodivigadele, nad kasutavad ära seda, kuidas kasutajad protokollidega aja jooksul suhtlevad.

Piiramatud lubadused, kihistatud nutikate lepingute süsteemid ja mitme ahela infrastruktuur loovad laieneva rünnaku pinda, mida häkkerid oskavad üha paremini navigeerida.

Turvaettevõtted on korduvalt hoiatanud, et DeFi skaleerumisega peab kasutajate poolne riskijuhtimine paranema koos protokollide auditeerimisega.

Kui lubade standardid, rahakottide turvameetmed ja sisestatud tehingupiirangud ei parane, on sarnaste juhtumite kordumine tõenäoline.

Karm meeldetuletus DeFi kasutajatele ja platvormidele

16,8 miljoni dollari väärtuses SwapNeti rikkumine on veel üks valus meeldetuletus, et DeFi mugavus maksab tihti turvalisuse hinnaga.

Kasutajate jaoks võivad püsivad lubadused muuta rahakotid vaikselt avatud kambriteks.

Platvormide jaoks toovad keerukad agregaatorite süsteemid riskivektorid, mis nõuavad pidevat jälgimist ja kiiret reageerimist.

Kuigi dezentraliseeritud finantseerimine liigub peagi mainstreami, aeglustab iga rikkumine usaldust, suurendab regulatiivset survet ja tõstab vajadust turvalisema infrastruktuuri järele.

Kuni lubade süsteemid muutuvad vaikimisi kasutajatele kaitsevamaks, jääb vastutus individuaalsete kasutajate õlgadele rahakottide turvalisuse tagamiseks.

Seni on krüptoga ühendustes selge sõnum:

• Tühistage vanad lubadused.
• Kasutage ühekordseid lubadusi.
• Käsitsege nutikate lepingute ligipääsu nagu privaatvõtmeid.

Sest DeFi-s võib üks unustatud lubadus maksta miljoneid.

Teavituskiri: see ei ole kauplemis- ega investeerimisnõuanne. Enne mistahes krüptovaluuta ostmist või teenuste investeerimist teostage alati oma uuringud.

Jälgige meid Twitteris @nulltxnews ja saage kursis viimaste Krüpto-, NFT-, AI-, küberturvalisuse-, jaotatud arvutuse- ja Metaversi uudistega!

/