Matcha Meta $16.8M की हानि के बाद हैक की पुष्टि करता है

Web3 सुरक्षा प्लेटफॉर्म PeckShield के अनुसार, 0x द्वारा निर्मित स्वैप और ब्रिज एग्रीगेशन प्लेटफॉर्म Matcha Meta ने SwapNet सुरक्षा उल्लंघन के कारण $16.8 मिलियन की डिजिटल संपत्ति खो दी है।

Matcha Meta ने सोमवार को खुलासा किया कि सप्ताहांत में उसे एक सुरक्षा शोषण का सामना करना पड़ा, जहां हमलावरों ने Matcha Meta के इंटरफेस में एकीकृत SwapNet नामक बाहरी एग्रीगेटर से टोकन चुरा लिए। प्लेटफॉर्म ने कहा कि जिन उपयोगकर्ताओं ने इसकी "One-Time Approvals" सुविधा को अक्षम कर दिया था और व्यक्तिगत एग्रीगेटर्स को सीधे टोकन अनुमतियां दी थीं, उनके फंड खोने का खतरा था।

X पर स्वैप एग्रीगेटर के बयान में, MM ने कहा कि उसे संदिग्ध गतिविधि का पता तब चला जब लेनदेन रिकॉर्ड में SwapNet के राउटर कॉन्ट्रैक्ट से बड़ी, अनधिकृत टोकन मूवमेंट के रिकॉर्ड दिखाई दिए। प्लेटफॉर्म ने पुष्टि की कि उसने SwapNet टीम से संपर्क किया था, जिसने अधिक नुकसान को रोकने के लिए "अस्थायी रूप से अपने कॉन्ट्रैक्ट्स को अक्षम कर दिया"। 

Matcha Meta हैकर ने पीड़ितों से 3k Ether कॉइन्स स्वैप किए

ब्लॉकचेन सुरक्षा फर्म PeckShield के अनुसार, हमलावर ने टोकन अनुमोदन और स्वैप के माध्यम से फंड निकाले। उन्होंने Base, एक Ether लेयर-2 ब्लॉकचेन पर पीड़ित पतों से लगभग 10.5 मिलियन USDC स्थानांतरित किए, फिर स्टेबलकॉइन को 3,655 Ether के लिए स्वैप किया, मूल्य को अधिक तरल संपत्ति में समेकित किया।

स्वैप पूरा करने के बाद, हमलावर ने किसी भी लेनदेन ट्रेल को छिपाने के लिए Base से Ethereum मेननेट पर Ether को ब्रिज करना शुरू किया। ब्रिजिंग स्मार्ट कॉन्ट्रैक्ट्स या मध्यस्थ प्रोटोकॉल का उपयोग करके ब्लॉकचेन के बीच संपत्ति स्थानांतरित करने की प्रक्रिया है। हालांकि इसे अधिकांश मामलों में "वैध" माना जाता है, हैकर्स इसका उपयोग करते हैं क्योंकि यह उनके संचालन को ट्रैक करना लगभग असंभव बना देता है।

अपराधी ने पहले उपयोगकर्ता के हस्ताक्षर के बिना फंड स्थानांतरित करने के लिए टोकन अलाउंस दिए थे, जो एक स्मार्ट कॉन्ट्रैक्ट को उनके टोकन खर्च करने की अनुमति देता है। यदि कोई अलाउंस असीमित पर सेट है, तो एक दुर्भावनापूर्ण या समझौता किया गया कॉन्ट्रैक्ट शेष राशि समाप्त होने तक फंड निकाल सकता है। 

Matcha Meta ने कहा कि जिन उपयोगकर्ताओं ने अपने One-Time Approval सिस्टम का उपयोग करके प्लेटफॉर्म के साथ इंटरैक्ट किया, वे प्रभावित नहीं हुए। यह सुविधा 0x के AllowanceHolder और Settler कॉन्ट्रैक्ट्स के माध्यम से टोकन अनुमतियों को रूट करती है, एकल लेनदेन के लिए अनुमोदन देकर एक ट्रेडर के जोखिम को सीमित करती है। 

"0x की प्रोटोकॉल टीम के साथ समीक्षा करने के बाद, हमने पुष्टि की है कि घटना की प्रकृति 0x के AllowanceHolder या Settler कॉन्ट्रैक्ट्स से संबंधित नहीं थी," Matcha Meta ने बाद में X पर लिखा। कंपनी ने कहा कि जिन उपयोगकर्ताओं ने One-Time Approvals को अक्षम किया और एग्रीगेटर कॉन्ट्रैक्ट्स पर सीधे अलाउंस सेट किए, वे "प्रत्येक एग्रीगेटर के जोखिम को स्वीकार करते हैं।"

DEX स्वैप प्लेटफॉर्म ने उपयोगकर्ताओं को अपने इंटरफेस के माध्यम से एग्रीगेटर्स पर सीधे अलाउंस सेट करने का कार्य हटा दिया, जबकि समुदाय से SwapNet के राउटर कॉन्ट्रैक्ट पर किसी भी मौजूदा अनुमति को रद्द करने के लिए कहा। 

DeFi स्मार्ट कॉन्ट्रैक्ट हैक 2026 में जारी हैं

Matcha Meta की घटना Makina Finance के छह दिन बाद आई है, जो स्वचालित निष्पादन सुविधाओं वाला एक विकेंद्रीकृत वित्त प्रोटोकॉल है, जिसे नेटवर्क उल्लंघन का सामना करना पड़ा जिसने Curve पर इसके DUSD/USDC लिक्विडिटी पूल को खाली कर दिया।

जैसा कि Cryptopolitan द्वारा रिपोर्ट किया गया है, हैकर्स ने Makina के Curve स्टेबलकॉइन पूल से लगभग 1,299 Ether निकाले, जो उस समय $4.13 मिलियन के बराबर थे। उल्लंघन में ऑन-चेन प्राइसिंग ओरेकल से जुड़े नॉन-कस्टोडियल लिक्विडिटी प्रोवाइडर शामिल थे, जो स्मार्ट कॉन्ट्रैक्ट्स द्वारा संपत्ति मूल्यों को निर्धारित करने के लिए उपयोग किया जाने वाला डेटा फीड है। 

ब्लॉकचेन एनालिटिक्स फर्म Elliptic के अनुसार, आज के डार्क वेब मनी लॉन्ड्रिंग में अधिकांश कॉइन स्वैप सेवाएं शामिल हैं, जिसमें स्टैंडअलोन वेबसाइटों या Telegram चैनलों के माध्यम से चलने वाले इंस्टेंट एक्सचेंज शामिल हैं।

पिछले साल, विकेंद्रीकृत एक्सचेंज एग्रीगेटर CoWSwap ने एक उल्लंघन की रिपोर्ट की जिसके परिणामस्वरूप $180,000 से अधिक का नुकसान हुआ। CoWSwap के ट्रेड निष्पादन GPv2Settlement स्मार्ट कॉन्ट्रैक्ट के माध्यम से लगभग $180,000 मूल्य के DAI चुराए गए।

प्लेटफॉर्म ने कहा कि समझौता किए गए कॉन्ट्रैक्ट के पास केवल एक सप्ताह में एकत्र किए गए प्रोटोकॉल शुल्क तक पहुंच थी, जो एक सॉल्वर अकाउंट के शोषण से उत्पन्न हुई। CoWSwap के मॉडल में, उपयोगकर्ता ट्रेड इंटेंट पर हस्ताक्षर करते हैं जो तीसरे पक्ष के सॉल्वर्स को पास किए जाते हैं, जो सर्वोत्तम कीमतें प्रदान करने और एकत्र किए गए शुल्क को स्टोर करने के लिए प्रतिस्पर्धा करते हैं।

सबसे स्मार्ट क्रिप्टो दिमाग पहले से ही हमारा न्यूज़लेटर पढ़ते हैं। शामिल होना चाहते हैं? उनसे जुड़ें।