Matcha Meta Atingida por Hack de Contrato Inteligente SwapNet de $16,8M

Introdução
No domingo, a Matcha Meta divulgou que uma violação de segurança ligada a um dos seus principais provedores de liquidez, a SwapNet, comprometeu utilizadores que tinham concedido aprovações ao contrato inteligente do router da SwapNet. O incidente sublinha como os componentes com permissões dentro de ecossistemas de exchanges descentralizadas podem tornar-se vetores de ataque mesmo quando a infraestrutura central permanece intacta. As avaliações públicas iniciais colocam as perdas na faixa de aproximadamente $13 milhões a $17 milhões, com a atividade on-chain centrada na rede Base e movimentos cross-chain em direção ao Blockchain Ethereum. A divulgação levou a alertas para que os utilizadores revogassem as aprovações e aumentou o escrutínio sobre como os contratos inteligentes expostos a routers externos são protegidos.

Pontos-chave

• A violação teve origem no contrato inteligente do router da SwapNet, levando a um apelo urgente para que os utilizadores revogassem as aprovações para prevenir mais perdas.
• As estimativas dos fundos roubados variam: a CertiK reportou cerca de $13,3 milhões, enquanto a PeckShield contabiliza pelo menos $16,8 milhões na rede Base.
• Na Base, o atacante trocou aproximadamente 10,5 milhões de USDC por cerca de 3.655 ETH e começou a fazer bridge dos fundos para o Ethereum.
• A CertiK atribuiu a vulnerabilidade a uma chamada arbitrária no contrato 0xswapnet, que permitiu ao atacante transferir fundos já aprovados para o mesmo.
• A Matcha Meta indicou que a exposição estava ligada à SwapNet e não à sua própria infraestrutura, e os responsáveis ainda não forneceram detalhes sobre compensação ou salvaguardas.
• As vulnerabilidades de contratos inteligentes continuam a ser o principal motor de explorações cripto, representando 30,5% dos incidentes em 2025, segundo o relatório anual de segurança da SlowMist.

Ativos mencionados

Ativos mencionados: Cripto → USDC, ETH, TRU

Sentimento

Sentimento: Neutro

Impacto no preço

Impacto no preço: Negativo. A violação destaca os riscos de segurança contínuos em DeFi e pode influenciar o sentimento de risco em torno da provisão responsável de liquidez e gestão de aprovações.

Ideia de negociação (não é aconselhamento financeiro)

Ideia de negociação (não é aconselhamento financeiro): Manter. O incidente é específico de um caminho de aprovação de router e não implica diretamente risco sistémico mais amplo para todos os protocolos DeFi, mas justifica cautela em torno da gestão de aprovações e liquidez cross-chain.

Contexto de mercado

Contexto de mercado: O evento surge em meio a uma atenção elevada à segurança DeFi e à atividade cross-chain, onde os provedores de liquidez e agregadores dependem cada vez mais de componentes modulares. Também se situa num contexto de discussões em evolução sobre governança on-chain, auditorias de contrato inteligente e a necessidade de salvaguardas robustas enquanto protocolos NFT blue-chip e novos participantes competem pela confiança dos utilizadores.

Porque é importante

Porque é importante

Os incidentes de segurança em agregadores DeFi ilustram as superfícies de risco persistentes presentes quando múltiplas camadas de protocolo interagem. Neste caso, a violação foi atribuída a uma vulnerabilidade no contrato inteligente do router da SwapNet e não à arquitetura central da Matcha Meta, sublinhando como a confiança é distribuída pelos componentes parceiros num ecossistema componível. Para os utilizadores, o episódio serve como lembrete para rever e revogar aprovações de tokens regularmente, especialmente após suspeitas de atividade on-chain anormal.

O impacto financeiro, ainda em evolução, reforça a importância de uma verificação rigorosa dos provedores de liquidez externos e a necessidade de monitoramento de riscos em tempo real dos fluxos de aprovação. O facto de os atacantes terem conseguido converter uma porção substancial dos fundos roubados em stablecoins e depois fazer bridge dos ativos para o Ethereum destaca as dinâmicas cross-chain que complicam os esforços de rastreabilidade e restituição pós-incidente. Exchanges e investigadores de segurança enfatizam o valor de âmbitos de permissão granulares e limitados no tempo e capacidades de revogação precoce para limitar o raio de impacto de tais explorações.

De uma perspetiva de mercado, o episódio acrescenta a uma narrativa mais ampla sobre a fragilidade das finanças descentralizadas e a corrida contínua para implementar salvaguardas robustas e auditáveis através das camadas dos ecossistemas DeFi. Embora não seja uma acusação sistémica da Matcha Meta, o incidente intensifica os apelos por auditorias de contrato inteligente padronizadas de contratos de router e maior responsabilização para módulos de terceiros que interagem com fundos de utilizadores.

O que observar a seguir

O que observar a seguir

• Atualizações oficiais da Matcha Meta sobre a causa raiz e quaisquer planos de remediação ou compensação para os utilizadores afetados.
• Quaisquer auditorias de contrato inteligente externas ou revisões de terceiros do contrato de router da SwapNet e mudanças de governança para prevenir a recorrência.
• Monitorização on-chain da atividade de bridge de Base para Ethereum relacionada com este incidente e movimentos de fundos subsequentes.
• Desenvolvimentos regulatórios e de normas da indústria em torno da segurança DeFi, particularmente estruturas de auditoria de contrato inteligente e controlos de aprovação de utilizadores.

Fontes e verificação

• Publicação da Matcha Meta no X alertando os utilizadores para revogar as aprovações da SwapNet após a violação.
• Aviso da CertiK identificando a exploração como decorrente de uma chamada arbitrária no contrato 0xswapnet que permitiu a transferência de fundos aprovados.
• Atualização da PeckShield notando aproximadamente $16,8 milhões drenados na Base, incluindo a troca de contrato de USDC por ETH e bridge para o Ethereum.
• Relatório Anual de Segurança Blockchain e AML 2025 da SlowMist detalhando a proporção de incidentes por categoria, incluindo 30,5% atribuídos a vulnerabilidades de contrato inteligente e 24% a comprometimento de contas.
• Cobertura da Cointelegraph do incidente Truebit, incluindo uma perda de $26 milhões e o declínio do token TRU, para um contexto mais amplo sobre exposição ao risco de contrato inteligente.

Corpo do artigo reescrito

Violação de segurança na Matcha Meta sublinha riscos de contratos inteligentes em ecossistemas DEX

No mais recente exemplo de como DeFi pode ser comprometida internamente, a Matcha Meta divulgou que ocorreu uma violação de segurança através de um dos seus principais caminhos de provisão de liquidez—o contrato inteligente do router da SwapNet. A consequência visível para os utilizadores é a revogação de aprovações de tokens, que o protocolo explicitamente instou na sua publicação pública. A violação não pareceu ter origem na infraestrutura central da Matcha Meta, indicou a empresa, mas sim de uma vulnerabilidade na camada de router de um parceiro que concedia permissões para mover fundos em nome dos utilizadores.

As estimativas iniciais de investigadores de segurança colocam o impacto financeiro numa faixa restrita. A CertiK quantificou as perdas em cerca de $13,3 milhões, enquanto a PeckShield reportou um valor mínimo superior de $16,8 milhões na rede Base. A discrepância reflete diferentes métodos de contabilidade on-chain e cronologia das revisões pós-incidente, mas ambas as análises confirmam uma perda significativa ligada à funcionalidade do router da SwapNet. Na Base, o atacante terá trocado aproximadamente 10,5 milhões de USDC (CRYPTO: USDC) por cerca de 3.655 ETH (CRYPTO: ETH) e começou a fazer bridge dos lucros para o Ethereum, segundo o boletim da PeckShield publicado no X.

A avaliação de risco da CertiK fornece uma explicação técnica para a exploração: uma chamada arbitrária no contrato 0xswapnet permitiu ao atacante extrair fundos que os utilizadores já tinham aprovado, efetivamente contornando um roubo direto do pool de liquidez da SwapNet e em vez disso aproveitando as permissões concedidas ao router. Esta distinção é importante porque aponta para uma falha de governança ou design na camada de integração em vez de uma violação dos próprios controlos de custódia ou segurança da conta da Matcha Meta.

A Matcha Meta reconheceu que a exposição está ligada à SwapNet e não atribuiu a vulnerabilidade à sua própria infraestrutura. As tentativas de obter comentários sobre mecanismos de compensação ou salvaguardas não foram imediatamente respondidas, deixando os utilizadores afetados sem um caminho de remediação claro no curto prazo. O incidente ilustra um perfil de risco mais amplo para agregadores DEX: quando as parcerias introduzem novas interfaces de contrato, os atacantes podem visar fluxos com permissões que se situam na interseção de aprovações de utilizadores e transferências de fundos automatizadas.

O panorama de segurança mais amplo em cripto permanece persistentemente precário. Em 2025, as vulnerabilidades de contrato inteligente foram a principal causa de explorações cripto, representando 30,5% dos incidentes e 56 eventos totais, segundo o relatório anual da SlowMist. Esta proporção destaca como até projetos sofisticados podem ser prejudicados por bugs de casos extremos ou configurações incorretas em código que governa a transferência automática de valor. Comprometimentos de contas e contas sociais comprometidas (como handles X das vítimas) também representaram uma porção considerável dos incidentes, sublinhando a natureza multi-vetorial do conjunto de ferramentas dos atacantes.

Para além dos ângulos puramente técnicos, o incidente alimenta um discurso crescente em torno do uso de inteligência artificial na segurança de contratos inteligentes. Relatórios de DEZEMBRO notaram que agentes de IA comercialmente disponíveis descobriram aproximadamente $4,6 milhões em explorações on-chain em tempo real, aproveitando ferramentas como Claude Opus 4.5, Claude Sonnet 4.5 e GPT-5 da OpenAI. O surgimento de técnicas de sondagem e exploração habilitadas por IA acrescenta uma camada de complexidade à avaliação de risco para auditores e operadores. Este panorama de ameaças em evolução reforça a necessidade de monitorização contínua, revogação rápida de permissões e medidas defensivas adaptáveis nos ecossistemas DeFi.

Duas semanas antes do incidente SwapNet, outra vulnerabilidade de contrato inteligente de alto perfil resultou em $26 milhões em perdas para o protocolo Truebit, seguida de uma reação de preço acentuada no token TRU (CRYPTO: TRU). Tais episódios sublinham o facto de que a camada de contrato inteligente permanece uma superfície de ataque primária para hackers, mesmo quando outros domínios dentro da esfera cripto—custódia, infraestrutura centralizada e componentes off-chain—também enfrentam ameaças persistentes. O tema recorrente é que a gestão de risco deve estender-se para além de auditorias de contrato inteligente e recompensas de bugs para incluir governança ao vivo, monitoramento de riscos em tempo real e práticas prudentes de utilizadores em torno de aprovações e movimentos cross-chain.

À medida que o mercado digere as implicações, os observadores enfatizam que o caminho para a resiliência em DeFi depende de salvaguardas em camadas e resposta transparente a incidentes. Embora a vulnerabilidade da SwapNet pareça isolada a uma integração particular, o incidente reforça uma lição central: até parceiros confiáveis podem introduzir risco sistémico se os seus contratos interagirem com fundos de utilizadores de formas que contornam salvaguardas padrão. O registo on-chain continuará a desenrolar-se à medida que investigadores, a Matcha Meta e os seus parceiros de liquidez conduzem revisões forenses e determinam se as vítimas receberão compensação ou melhorias nos controlos de risco que possam prevenir incidentes semelhantes no futuro.

Este artigo foi originalmente publicado como Matcha Meta atingida por hack de contrato inteligente SwapNet de $16,8M no Crypto Breaking News – a sua fonte de confiança para notícias cripto, notícias Bitcoin e atualizações blockchain.