Na-hack ang on-chain decentralized exchange (DEX) aggregator na SwapNet matapos ma-exploit ang smart contract nito. Nawala ang halos $16.8 million na crypto assets dahil dito.
Ipinapakita ng insidente na patuloy pa rin ang security risks na konektado sa token approvals at third-party routing contracts sa decentralized finance (DeFi).
Sunog si SwapNet: On-Chain DEX Aggregator Nahack ng $16.8 Million
Inireport ng PeckShield na inatake ng hacker ang SwapNet-related na activity na available sa Matcha Meta, isang meta DEX aggregator na ginawa ng 0x team.
Sa Base network, nag-swap ang attacker ng nasa $10.5 million na USDC para sa mga 3,655 ETH bago i-bridge ang funds papuntang Ethereum. Karaniwan na itong ginagawa ng mga hacker para mas mahirapan silang mahuli at mabawi ang pera.
Nilinaw ng Matcha Meta na wala sa core infrastructure nila nanggaling ang problema. Ang mga users na naapektuhan ay ‘yung nag-disable ng 0x’s One-Time Approval system, isang security feature na nililimitahan ang tuloy-tuloy na token permissions.
‘Yung mga nag-off nitong option ay nagbigay ng direct approvals sa mga aggregator contract, kasama na ang SwapNet’s router. Dahil dito, naging open sila sa naging atake.
“Alam namin ang naging issue sa SwapNet na posibleng nakaapekto sa mga user ng Matcha Meta, lalo na sa mga nag-turn off ng One-Time Approvals,” paliwanag ng Matcha Meta sa statement nila.
Kumpirmado rin ng platform na nakikipag-ugnayan na sila sa SwapNet team at pansamantalang di muna ginagamit ang affected na contracts habang iniimbestigahan pa ang nangyari.
Pinaalalahanan ng Matcha Meta ang users na agad i-revoke ang approvals sa mga aggregator na hiwalay sa 0x’s One-Time Approval setup bilang dagdag na pag-iingat.
Kabilang dito ang approval para sa SwapNet’s router contract (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e), na pinaka-urgent na kailangan i-revoke. Kung hindi ito gagawin, pwede pa ring ma-expose ang wallets kahit matapos na ang exploit.
DeFi: Pipili Ka Ba ng Convenience o Safety Sa Gitna ng Dumaraming Smart Contract Exploit?
Ipinapakita ng insidente ang matagal nang trade-off sa DeFi sa pagitan ng convenience at security. Kailangan mag-approve ang users ng mga transaction kada isa kapag naka One-Time Approvals, kaya mas kontrolado pero mas matrabaho, lalo na kung active trader ka.
Kung unlimited approvals ang gamit, mas mabilis, pero binibigyan mo ng patuloy na access sa funds mo ang smart contracts. Nagiging delikado lalo na kung macha-hack o naku-compromise ang contract na ‘yon.
Wala pang nilalabas na official technical report ang SwapNet tungkol sa nangyari, at di pa malinaw kung ire-refund ang mga users na tinamaan. Marami pa ring tanong tungkol sa accountability at recovery.
Dahil dito, mas lalong nabibigyan ng pansin ang approval practices at aggregator connections sa buong DeFi ecosystem.
Panibagong Ethereum Exploit, Nagbabala Sa Delikado ng Unverified at Closed-Source na Contracts
Nangyari ang exploit na ‘to kasabay ng iba pang smart contract attacks at crypto security incidents na patuloy sa market.
Noong araw na yun, nag-flag si security auditor Pashov ng hiwalay na Ethereum mainnet exploit na may kinalaman sa mga 37 WBTC, na nagkakahalaga ng mahigit $3.1 million.
Nalunok ito ng isang closed-source, hindi verified na contract na kakadeploy lang 41 days bago ang incident. Bytecode lang na hindi mababasa ng tao ang available, kaya walang public review.
Pinapakita ng mga insidenteng to na talagang marami pang opportunities na inaabangan ng mga attackers sa DeFi, tulad ng:
- Hindi verified na code
- Tuloy-tuloy na approvals, at
- Maraming complicated na routing layers.
Kahit ilang taon nang may audits at security upgrades, patuloy pa ring may mga structural na problema ang DeFi. Kaya importante sa devs at users na balansihin ang usability at ang risk management lagi.
