L'agrégateur d'échange décentralisé (DEX) appelé SwapNet a perdu des actifs cryptographiques d'une valeur d'environ 16,8 millions de dollars en raison d'un routeur de contrat compromis qui a été exploité par des attaquants, même après que les utilisateurs ont désactivé les fonctionnalités de sécurité clés et que des autorisations de jetons continues ont été accordées.
Que s'est-il passé : exploitation de l'agrégateur DEX
La société de sécurité PeckShield a rapporté que cette attaque visait les activités liées à SwapNet accessibles via Matcha Meta, un agrégateur DEX métamorphosé construit par l'équipe 0x. Cette vulnérabilité ciblait les utilisateurs qui avaient refusé l'utilisation du système d'approbation unique (One-Time Approval) de 0x et avaient accordé directement des autorisations au contrat d'agrégateur sous-jacent.
Sur le réseau Base, l'attaquant a échangé environ 10,5 millions de dollars USDC (USDC) contre environ 3 655 ethers (ETH) (ETH), puis a transféré cela vers le réseau principal Ethereum (ETH).
Cette méthode est une tactique typiquement utilisée pour rendre le suivi difficile.
« Nous sommes conscients que les utilisateurs ayant désactivé les approbations uniques pourraient avoir été exposés à un incident lié à SwapNet sur Matcha Meta », a déclaré Matcha Meta. La plateforme a identifié le contrat du routeur SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) comme la cible que les utilisateurs doivent approuver en priorité.
Articles connexes : Les procureurs sud-coréens perdent 47 millions de dollars de Bitcoin saisi à cause d'une attaque de phishing.
Pourquoi est-ce important : vulnérabilités répétées dans la DeFi
Cet incident a de nouveau mis en lumière la tension fondamentale entre commodité et sécurité dans la finance décentralisée (DeFi). Les approbations uniques exigent une approbation distincte pour chaque transaction, réduisant ainsi la surface d'attaque continue, mais cela cause des désagréments pour les utilisateurs effectuant de fréquentes transactions. En revanche, la méthode d'approbation illimitée offre rapidité et commodité, mais implique le risque d'accorder un accès continu aux fonds des utilisateurs par le biais de contrats intelligents.
SwapNet n'a pas encore publié de rapport d'analyse technique sur l'incident et n'a pas non plus clarifié sa position sur l'indemnisation des utilisateurs touchés.
Le même jour, l'auditeur en sécurité Pashov a capturé un exploit distinct impliquant environ 37 WBTC (WBTC) et plus de 3,1 millions de dollars sur le réseau principal Ethereum. Cet incident serait lié à un contrat non vérifié et à une source non publique distribuée il y a 41 jours.
Il y a environ un mois, l'incident de piratage de Trust Wallet a choqué la communauté DeFi.
Trust Wallet a confirmé qu'environ 7 millions de dollars de cryptomonnaies avaient été compromis. L'attaque a été réalisée via une mise à jour d'une extension de navigateur malveillante. Cette violation n'a affecté que la version 2.68 de l'extension Chrome distribuée le 24 décembre, et les utilisateurs de portefeuilles mobiles n'ont pas été touchés. Le fondateur de **Binance**, **Changpeng Zhao**, la société mère de Trust Wallet, a déclaré qu'il rembourserait tous les utilisateurs touchés intégralement.
À lire ensuite : Pourquoi les baleines achètent-elles Seeker pendant que l'argent intelligent vend ?
