L'aggregatore di exchange decentralizzati (DEX) on-chain, SwapNet, è stato vittima di un importante exploit di smart contract che ha prosciugato quasi 16,8 milioni di dollari in criptovalute.
L'incidente evidenzia i persistenti rischi per la sicurezza legati alle approvazioni dei token e ai contratti di routing di terze parti nella finanza decentralizzata (DeFi).
L'aggregatore DEX on-chain SwapNet subisce un exploit da 16,8 milioni di dollari
PeckShield ha segnalato che l'aggressore ha preso di mira le attività collegate a SwapNet accessibili tramite Matcha Meta, un aggregatore meta DEX creato dal team 0x.
Sulla rete Base, l'aggressore ha scambiato circa 10,5 milioni di dollari in USDC per circa 3.655 ETH prima di trasferire i fondi su Ethereum , una tattica comune utilizzata per complicare gli sforzi di tracciamento e recupero.
Matcha Meta ha spiegato che l'esposizione non era dovuta alla sua infrastruttura principale. Gli utenti interessati erano invece coloro che avevano disattivato il sistema di approvazione una tantum di 0x, una funzionalità di sicurezza progettata per limitare le autorizzazioni per i token in corso.
Gli utenti che hanno disabilitato questa opzione hanno concesso approvazioni dirette ai contratti aggregatori sottostanti, tra cui il router di SwapNet, che alla fine è diventato il vettore dell'attacco.
"Siamo a conoscenza di un incidente con SwapNet a cui potrebbero essere stati esposti gli utenti di Matcha Meta per aver disattivato le approvazioni una tantum", ha affermato Matcha Meta in una nota.
La piattaforma ha confermato di essere in coordinamento con il team SwapNet, che ha temporaneamente disattivato i contratti interessati mentre proseguono le indagini.
A scopo precauzionale, Matcha Meta ha invitato gli utenti a revocare immediatamente le approvazioni ai singoli aggregatori al di fuori del framework di approvazione una tantum di 0x.
La piattaforma ha evidenziato il contratto del router di SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) come l'approvazione più urgente da revocare. In caso contrario, i wallet potrebbero rimanere esposti anche dopo aver contenuto l'exploit.
I compromessi di sicurezza della DeFi: comodità contro sicurezza in mezzo all'aumento degli exploit degli smart contract
L'incidente riflette un compromesso di lunga data nella DeFi tra praticità e sicurezza. Le approvazioni una tantum richiedono agli utenti di approvare ogni transazione individualmente, riducendo le superfici di attacco persistenti. Tuttavia, aggiungono anche difficoltà per i trader abituali.
Le approvazioni illimitate, pur essendo più rapide, garantiscono agli smart contract un accesso duraturo ai fondi degli utenti. Tuttavia, questa soluzione diventa pericolosa quando i contratti vengono compromessi.
SwapNet non ha ancora pubblicato un'analisi tecnica completa né ha indicato se gli utenti interessati saranno risarciti. Ciò lascia aperti interrogativi sulla responsabilità e sul recupero.
La mancanza di chiarezza immediata probabilmente intensificherà il controllo sulle pratiche di approvazione e sulle integrazioni degli aggregatori nell'intero ecosistema DeFi.
Un altro exploit di Ethereum evidenzia i rischi dei contratti closed-source non verificati
L'exploit si inserisce in un contesto più ampio di attacchi agli smart contract e incidenti di sicurezza nel mercato delle criptovalute .
Lo stesso giorno, il revisore dei conti Pashov ha segnalato un altro exploit della mainnet di Ethereum che coinvolgeva circa 37 WBTC, per un valore di oltre 3,1 milioni di dollari.
Ciò era collegato a un contratto closed source e non verificato, distribuito solo 41 giorni prima. Il contratto pubblicava solo bytecode non leggibile dall'uomo, impedendone la revisione pubblica.
Nel complesso, gli incidenti evidenziano un terreno fertile per gli aggressori nella DeFi. Questi sono:
- Codice non verificato
- Approvazioni persistenti e
- Livelli di routing complessi.
Nonostante anni di audit e miglioramenti della sicurezza, la DeFi continua a scontrarsi con vulnerabilità strutturali. Questo pone su sviluppatori e utenti l'onere di bilanciare usabilità e gestione del rischio.
L'articolo Un aggregatore DEX on-chain ha appena perso 17 milioni di dollari in un importante attacco a un contratto intelligente è apparso per la prima volta su BeInCrypto .