L’aggregatore di DEX decentralizzati on-chain, SwapNet, ha subito un grave exploit di uno smart contract che ha prosciugato quasi 16,8 milioni di dollari in asset crypto.
L’incidente mette in evidenza i persistenti rischi legati alla sicurezza dovuti alle autorizzazioni dei token e ai contratti di routing di terze parti nella finanza decentralizzata (DeFi).
SponsoredL’aggregatore on-chain di DEX SwapNet subisce un exploit da 16,8 milioni di dollari
PeckShield ha riportato che l’attaccante ha preso di mira attività collegate a SwapNet accessibili tramite Matcha Meta, un meta aggregatore DEX sviluppato dal team 0x.
Sulla rete Base, l’attaccante ha scambiato circa 10,5 milioni di USDC per circa 3.655 ETH prima di bridgiare i fondi su Ethereum, una tattica comune usata per complicare le operazioni di tracciamento e recupero.
Matcha Meta ha spiegato in dettaglio che l’esposizione non deriva dalla sua infrastruttura di base. Al contrario, sono stati colpiti quegli utenti che hanno deciso di disattivare il sistema di One-Time Approval di 0x, una funzione di sicurezza realizzata per limitare le autorizzazioni permanenti ai token.
Gli utenti che hanno disabilitato questa opzione hanno concesso autorizzazioni dirette ai contratti degli aggregatori, inclusa la router di SwapNet, che è poi diventata il vettore dell’attacco.
“Siamo a conoscenza di un incidente con SwapNet a cui gli utenti potrebbero essere stati esposti su Matcha Meta per chi ha disattivato le One-Time Approvals”, ha dichiarato Matcha Meta in un comunicato.
La piattaforma ha confermato che sta collaborando con il team di SwapNet, il quale ha temporaneamente disabilitato i contratti colpiti mentre continuano le indagini.
Sponsored SponsoredCome misura precauzionale, Matcha Meta ha invitato con urgenza gli utenti a revocare immediatamente le autorizzazioni ai singoli aggregatori esterni al framework One-Time Approval di 0x.
La piattaforma ha segnalato il contratto router di SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) come l’approvazione più urgente da revocare. La mancata revoca potrebbe lasciare i wallet esposti anche dopo che l’exploit è stato contenuto.
I compromessi sulla sicurezza nella DeFi, tra comodità e sicurezza in un contesto di crescenti exploit degli smart contract
L’incidente riflette un compromesso che esiste da tempo nella DeFi tra praticità e sicurezza. Le One-Time Approvals richiedono infatti agli utenti di approvare ogni transazione singolarmente, riducendo così le superfici di attacco permanenti. Tuttavia, ciò introduce maggiore frizione per chi opera frequentemente.
SponsoredLe approvazioni illimitate, sebbene più rapide, garantiscono agli smart contract accesso costante ai fondi degli utenti. Tuttavia, questa impostazione può diventare pericolosa quando tali contratti subiscono compromissioni.
SwapNet non ha ancora pubblicato un report tecnico completo né ha indicato se gli utenti colpiti verranno rimborsati. Restano quindi aperti i dubbi sulla responsabilità e le possibilità di rimborso.
L’assenza di indicazioni chiare nell’immediato probabilmente aumenterà la pressione e il controllo sulle pratiche di concessione delle autorizzazioni e sulle integrazioni degli aggregatori all’interno dell’ecosistema DeFi.
Un altro exploit su Ethereum mette in evidenza i rischi dei contratti non verificati e closed-source
L’exploit si inserisce in un quadro più ampio di attacchi agli smart contract e incidenti di sicurezza nel mercato crypto.
Sponsored SponsoredNella stessa giornata, l’auditor di sicurezza Pashov ha segnalato un altro exploit sulla mainnet di Ethereum che riguarda circa 37 WBTC, per un valore di oltre 3,1 milioni di dollari.
Questo exploit è stato collegato a un contratto chiuso, non verificato, lanciato solo 41 giorni prima. Il contratto pubblicava esclusivamente bytecode non leggibile dagli esseri umani, impedendo una revisione pubblica.
Insieme, questi episodi mettono in evidenza ampie aree di vulnerabilità su cui gli attaccanti possono agire nella DeFi. Questi punti critici sono:
- Codice non verificato
- Autorizzazioni persistenti, e
- Strutture di routing complesse.
Nonostante anni di audit e miglioramenti della sicurezza, la DeFi continua a fare i conti con vulnerabilità strutturali. Questo impone a sviluppatori e utenti la responsabilità di trovare un equilibrio tra usabilità e gestione del rischio.
