En Bref
- L’exploitation de SwapNet entraîne un drain de 16,8 millions de dollars après que les utilisateurs ont désactivé les protections d’autorisation unique.
- L’attaquant a échangé 10,5 millions de USDC contre de l’ETH sur Base avant de le transférer vers Ethereum.
- Matcha Meta désactive les contrats affectés alors que des cabinets de sécurité signalent des risques plus larges dans la DeFi.
Une faille de sécurité liée à SwapNet a entraîné une perte d’environ 16,8 millions de dollars, affectant les utilisateurs interagissant via Matcha Meta. L’incident a principalement concerné les utilisateurs ayant désactivé les autorisations uniques, exposant ainsi des permissions de jetons persistantes.
La société de sécurité blockchain PeckShieldAlert a identifié l’exploitation et tracé les mouvements initiaux des fonds. L’attaquant a ciblé les contrats de routeur SwapNet qui conservaient des autorisations illimitées provenant des portefeuilles des utilisateurs affectés.
Sur le réseau Base, l’attaquant a échangé environ 10,5 millions de dollars en USDC contre environ 3 655 ETH. Peu de temps après, l’attaquant a commencé à transférer les actifs convertis vers le réseau principal Ethereum pour compliquer le suivi.
SwapNet fonctionne comme un routeur de liquidité utilisé par Matcha Meta pour obtenir des prix et une liquidité profonde. L’exploitation a impliqué l’abus des autorisations existantes plutôt que la violation des clés privées ou de l’infrastructure principale.
Matcha Meta, développé par l’équipe 0x, a confirmé le problème et a immédiatement désactivé les contrats SwapNet affectés. La plateforme a également supprimé l’option permettant aux utilisateurs d’accorder des autorisations directes à des agrégateurs tiers.
L’enquête s’élargit alors que des cabinets de sécurité signalent des risques plus importants
Une analyse plus approfondie a suggéré que l’exploitation provenait d’une vulnérabilité d’appel arbitraire dans les contrats SwapNet. Ce défaut permettait aux attaquants de transférer des jetons approuvés sans demander de nouvelles permissions.
La société de sécurité BlockSec a rapporté que plusieurs contrats sur différentes chaînes ont subi des pertes dépassant 17 millions de dollars. Les réseaux affectés comprenaient Ethereum, Arbitrum, Base et BNB Chain, ce qui augmente la portée de l’incident.
Par ailleurs, CertiK a estimé que près de 13,3 millions de dollars en USDC avaient été volés dans le cadre d’activités connexes.
Certains contrats impliqués restaient en source fermée et non vérifiés lors du déploiement.
Matcha Meta a ensuite confirmé que les contrats principaux 0x n’étaient pas affectés par l’incident.
Les utilisateurs s’appuyant sur des autorisations d’un seul coup via l’infrastructure 0x sont restés indemnes.
L’incident a relancé la vigilance concernant les autorisations persistantes de jetons dans la finance décentralisée.
Les permissions illimitées offrent de la commodité mais augmentent l’exposition en cas de défaillance des contrats intelligents.
Par ailleurs, l’enquêteur on-chain ZachXBT a critiqué la réponse tardive de Circle pour geler le reste des USDC. Environ 3 millions de dollars seraient restés à des adresses éligibles au gel pendant la période de réponse.
La faille s’ajoute à une liste croissante de défaillances de sécurité dans la DeFi au début de 2026. Les données du secteur montrent que les fonds cryptographiques volés ont atteint des niveaux record ces dernières années, augmentant la pression sur les pratiques de sécurité des protocoles.
|
| AVERTISSEMENT : Les informations présentes sur ce site sont fournies à titre de commentaire général sur le marché et ne constituent pas un conseil en investissement. Nous vous encourageons à faire vos propres recherches avant d’investir. |
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
La plateforme DeFi Carrot ferme ses portes en tant que première victime de l’exploitation du protocole $285M Drift
Selon l’annonce de Carrot du 30 avril, le protocole de rendement DeFi basé sur Solana ferme définitivement ses portes, devenant la première plateforme à fermer directement à la suite de l’exploit du Drift Protocol d’une valeur de 285 millions de dollars survenu début avril. L’équipe de Carrot a déclaré dans une publication sur X que le piratage de Drift était
GateNewsIl y a 4h
Tapp Exchange va cesser ses opérations ; les utilisateurs doivent retirer leurs actifs avant le 31 mai 2026
D’après une annonce officielle, Tapp Exchange cessera ses opérations, et les utilisateurs devront retirer leurs actifs d’ici le 31 mai 2026. Le protocole restera entièrement opérationnel jusqu’à cette date. Après le 31 mai, l’interface front-end sera mise hors ligne et les utilisateurs ne pourront retirer leurs fonds que par interaction
GateNewsIl y a 7h
Eric Trump disparaît de la page de direction Alt5 Sigma alors que l’entreprise signale une perte $341M
D’ici la semaine dernière, Eric Trump n’était plus affiché sur la page de direction d’Alt5 Sigma Corp. (désormais AI Financial, NASDAQ: ALTS), l’entreprise basée à Las Vegas liée à World Liberty Financial Inc., la plateforme crypto du projet de la famille Trump. Son nom figurait encore sur le site de l’entreprise aussi récemment qu’en mars, lorsqu’il
GateNewsIl y a 11h
Des hackers nord-coréens volent 577 millions de dollars en crypto au cours des quatre premiers mois de 2026, selon les rapports de TRM Labs
D’après TRM Labs, des pirates nord-coréens ont volé environ 577 millions de dollars en cryptomonnaies au cours des quatre premiers mois de 2026, représentant environ 76% de toutes les pertes mondiales en cryptomonnaies depuis le début de l’année. Le chiffre met en évidence un changement stratégique d’unités d’élite telles que le groupe Lazarus vers des solutions à haut niveau de sophistication…
GateNewsIl y a 16h
La plateforme d’échange de cryptomonnaies Grinex a été vidée de 13,7 millions de dollars en avril 2026, ses opérations ont été suspendues
D’après une enquête de Global Ledger publiée en avril 2026, Grinex, un échange de crypto-monnaie sous sanctions opérant depuis le Kirghizistan, a été vidé d’environ 13,7 millions de dollars et a immédiatement suspendu ses activités. Grinex était apparu en mars 2025 comme une successeur apparent de Garantex, un
GateNewsIl y a 21h
La plateforme d’échange polonaise Zondacrypto suspend les retraits, apparemment contrôlée par la mafia russe Tambov
Selon Gazeta Wyborcza, qui cite l’Agence polonaise de sécurité intérieure (ABW), Zondacrypto, l’une des plus grandes plateformes d’échange de crypto de l’Europe centrale et orientale, a suspendu les retraits ce mois-ci après avoir été révélée comme contrôlée par le syndicat criminel de Tambov en Russie depuis 2018. Les réserves de la plateforme seraient
GateNews04-30 11:31
