Matcha Meta bevestigt hack na verlies van $16,8 miljoen

Het swap- en bridge-aggregatieplatform gebouwd door 0x, Matcha Meta, heeft $16,8 miljoen aan digitale activa verloren als gevolg van een SwapNet-beveiligingslek, volgens Web3-beveiligingsplatform PeckShield.

Matcha Meta maakte maandag bekend dat het in het weekend te maken kreeg met een beveiligingsexploit, waarbij aanvallers tokens hebben gestolen van een externe aggregator die geïntegreerd is in de interface van Matcha Meta, genaamd SwapNet. Het platform zei dat gebruikers die de functie "One-Time Approvals" hadden uitgeschakeld en directe tokenmachtigingen aan individuele aggregators hadden verleend, het risico liepen hun fondsen te verliezen.

In de verklaring van de swap-aggregator op X zei MM dat het verdachte activiteit opmerkte nadat gegevens van grote, ongeautoriseerde tokenbewegingen van het routercontract van SwapNet in de transactierecords verschenen. Het platform bevestigde dat het contact had opgenomen met het SwapNet-team, dat "zijn contracten tijdelijk heeft uitgeschakeld" om verdere verliezen te voorkomen. 

Matcha Meta-hacker heeft 3k Ether-munten van slachtoffers geruild

Volgens het blockchain-beveiligingsbedrijf PeckShield heeft de aanvaller fondsen weggesluisd via tokengoedkeuringen en swaps. Ze verplaatsten ongeveer 10,5 miljoen USDC van slachtofferadressen op Base, een Ether layer-2 blockchain, en ruilde vervolgens de stablecoins voor 3.655 Ether, waarbij de waarde werd geconsolideerd in een meer liquide actief.

Na het voltooien van de swaps begon de aanvaller de Ether van Base naar het Ethereum-mainnet te bridgen om eventuele transactiesporen te verbergen. Bridging is het proces van het overdragen van activa tussen blockchains met behulp van smart contracts of tussenprotocollen. Hoewel het in de meeste gevallen als "legitiem" wordt beschouwd, gebruiken hackers het omdat het het bijna onmogelijk maakt om hun operaties te volgen.

De dader had eerder tokentoewijzingen verleend om fondsen te verplaatsen zonder de handtekening van de gebruiker, wat toestemming geeft aan een smart contract om hun tokens uit te geven. Als een toewijzing op onbeperkt wordt ingesteld, kan een kwaadaardig of gecompromitteerd contract fondsen aftappen totdat het saldo is uitgeput. 

Matcha Meta zei dat gebruikers die met het platform communiceerden met behulp van het One-Time Approval-systeem niet werden getroffen. Die functie stuurt tokenmachtigingen via de AllowanceHolder- en Settler-contracten van 0x, waardoor de blootstelling van een handelaar wordt beperkt door goedkeuringen voor één enkele transactie te verlenen. 

"Na overleg met het protocolteam van 0x hebben we bevestigd dat de aard van het incident niet geassocieerd was met de AllowanceHolder- of Settler-contracten van 0x," schreef Matcha Meta later op X. Het bedrijf voegde eraan toe dat gebruikers die One-Time Approvals uitschakelden en directe toewijzingen op aggregatorcontracten instelden "de risico's van elke aggregator op zich nemen."

Het DEX-swapplatform heeft de functie voor gebruikers om directe toewijzingen op aggregators in te stellen via zijn interface verwijderd, terwijl het de gemeenschap vraagt om eventuele bestaande machtigingen op het routercontract van SwapNet in te trekken. 

DeFi smart contract-hacks blijven voortduren in 2026

Het Matcha Meta-incident komt slechts zes dagen nadat Makina Finance, een gedecentraliseerd financieel protocol met geautomatiseerde uitvoeringsfuncties, te maken kreeg met een netwerklek dat zijn DUSD/USDC-liquiditeitspool op Curve heeft leeggezogen.

Zoals gerapporteerd door Cryptopolitan, haalden hackers ongeveer 1.299 Ether uit de Curve stablecoin-pool van Makina, ter waarde van $4,13 miljoen op dat moment. Het lek betrof niet-custodiale liquiditeitsverschaffers die verbonden waren met een on-chain prijsorakel, een datafeed die door smart contracts wordt gebruikt om activawaarden te bepalen. 

Volgens het blockchain-analysebedrijf Elliptic gaat veel van de hedendaagse dark web-geldwaspraktijken via coin swap-diensten, waaronder instant exchanges die via standalone websites of Telegram-kanalen lopen.

Vorig jaar meldde de gedecentraliseerde exchange-aggregator CoWSwap een lek dat resulteerde in verliezen van meer dan $180.000. Ongeveer $180.000 aan DAI werd gestolen via het GPv2Settlement smart contract voor handelsuitvoering van CoWSwap.

Het platform zei dat het gecompromitteerde contract alleen toegang had tot protocolvergoedingen die over één week waren verzameld, als gevolg van de exploitatie van een solver-account. In het model van CoWSwap ondertekenen gebruikers handelsintensies die worden doorgegeven aan externe solvers, die concurreren om de beste prijzen te bieden en verzamelde vergoedingen op te slaan.

De slimste cryptogeesten lezen al onze nieuwsbrief. Wil je ook? Sluit je bij hen aan.