متچا متا ۱۶.۸ میلیون دلار در حمله SwapNet متحمل زیان شد

پلتفرم معاملاتی غیرمتمرکز Matcha Meta پس از یک حادثه امنیتی بزرگ مرتبط با قراردادهای هوشمند SwapNet که منجر به سرقت تخمینی 16.8 میلیون دلار دارایی شد، در حال تلاش است.

شرکت امنیت بلاک چین PeckShield ابتدا این سوءاستفاده را شناسایی کرد و نشان داد که مهاجم به سرعت بخش‌های بزرگی از وجوه سرقت شده را به اتریوم تبدیل کرد قبل از اینکه شروع به انتقال دارایی‌ها به سایر زنجیره‌ها کند.

این نقض امنیتی باعث خاموش شدن فوری قراردادهای آسیب‌دیده شد، زیرا Matcha Meta برای جلوگیری از ضررهای بیشتر تلاش کرد. قراردادهای هوشمند SwapNet اکنون به طور موقت غیرفعال شده‌اند و مجوزهای مستقیم aggregator در سراسر پلتفرم حذف شده است.

در حالی که تحقیقات همچنان ادامه دارد، هنوز مشخص نیست که آیا وجوه کاربران بازیابی شده است یا خیر.

این حادثه یک بار دیگر خطرات رو به رشد مرتبط با تأییدیه‌های دائمی توکن و زیرساخت‌های پیچیده aggregator در امور مالی غیر متمرکز با نام اختصاری دیفای را برجسته می‌کند.

مهاجم میلیون‌ها دلار را در Base تبدیل می‌کند قبل از انتقال به بلاک چین اتریوم

داده‌های درون زنجیره ای نشان می‌دهد که سوءاستفاده به سرعت رخ داد.

مهاجم روی Base متمرکز شد، جایی که تقریباً 10.5 میلیون دلار USDC در مدت زمان کوتاهی به حدود 3,655 ETH تبدیل شد. پس از تکمیل تبدیل، وجوه به سرعت به سمت بلاک چین اتریوم منتقل شدند، یک مسیر رایج برای پولشویی به دلیل نقدینگی عمیق‌تر و زیرساخت گسترده‌تر امور مالی غیر متمرکز با نام اختصاری دیفای.

این الگو بسیاری از سوءاستفاده‌های اخیر امور مالی غیر متمرکز با نام اختصاری دیفای را منعکس می‌کند، جایی که مهاجمان:

• دارایی‌ها را از قراردادهای هوشمند تخلیه می‌کنند

• به توکن های با کیفیت بالا مانند ETH تبدیل می‌کنند

• وجوه را در سراسر شبکه‌ها پل می‌زنند

• ردها را با استفاده از پروتکل‌های غیرمتمرکز مبهم می‌کنند

سرعت اجرا نشان می‌دهد که مهاجم آماده بوده و احتمالاً رفتار قرارداد هوشمند SwapNet را به دقت قبل از حمله زیر نظر داشته است.

تحلیلگران امنیتی همچنان حرکات کیف پول را ردیابی می‌کنند در حالی که وجوه در آدرس‌های مبتنی بر بلاک چین اتریوم پخش می‌شوند.

قراردادهای هوشمند SwapNet غیرفعال شدند زیرا واکنش اضطراری آغاز شد

Matcha Meta به محض ظهور سوءاستفاده به سرعت عمل کرد.

تیم تأیید کرد که تمام قراردادهای هوشمند SwapNet به طور موقت خاموش شده‌اند و مجوزهای aggregator که مستقیماً به Matcha Meta مرتبط هستند به عنوان یک اقدام احتیاطی حذف شده‌اند.

این اقدام اضطراری با هدف جلوگیری از انتقالات غیرمجاز بیشتر است در حالی که تیم‌های امنیتی نقض را تجزیه و تحلیل می‌کنند.

با این حال، غیرفعال کردن قراردادها تراکنش‌هایی که قبلاً در زنجیره اجرا شده‌اند را معکوس نمی‌کند، به این معنی که وجوه سرقت شده احتمالاً قابل بازیابی نیستند مگر اینکه خروجی‌های متمرکز دارایی‌ها را در مراحل بعدی فرآیند پولشویی مسدود کنند.

تا کنون، Matcha Meta تأیید نکرده است که آیا وجوه بیمه، بازپرداخت‌ها یا تلاش‌های بازیابی برای کاربران آسیب‌دیده اعمال خواهد شد.

پلتفرم از همه کاربران خواسته است که فوراً تأییدیه‌های موجود توکن مرتبط با aggregatorها را بررسی و لغو کنند.

تأییدیه‌های دائمی توکن به عنوان خطر اصلی شناسایی شدند

این سوءاستفاده یک بار دیگر یکی از خطرناک‌ترین نقص‌های طراحی امور مالی غیر متمرکز با نام اختصاری دیفای را آشکار کرده است: تأییدیه‌های نامحدود توکن.

بسیاری از کاربران برای راحتی هنگام تعویض توکن، مجوزهای دائمی به aggregatorها و قراردادهای هوشمند می‌دهند. در حالی که این کار اصطکاک را کاهش می‌دهد، یک آسیب‌پذیری ثابت نیز ایجاد می‌کند.

هنگامی که یک عامل مخرب به یک قرارداد هوشمند در معرض خطر یا مسیر سوءاستفاده دسترسی پیدا می‌کند، می‌تواند کیف پول‌های تأیید شده را فوراً تخلیه کند، بدون نیاز به امضای بیشتر کاربر.

چه کسانی بیشترین خطر را دارند:

• کاربران با تأییدیه‌های بلندمدت به aggregatorها

• کیف پول‌هایی که سیستم‌های تأییدیه فقط یک بار را دور می‌زنند

• معامله‌گرانی که با قراردادهای هوشمند جدیدتر تعامل دارند

کارشناسان امنیتی اکنون تأکید می‌کنند که تأییدیه‌های نامحدود باید به طور کامل از آنها اجتناب شود، به ویژه هنگام استفاده از زیرساخت آزمایشی امور مالی غیر متمرکز با نام اختصاری دیفای.

Matcha Meta به طور خاص به کاربران توصیه کرد که هر گونه تأییدیه مرتبط با SwapNet و سایر aggregatorهای خارج از چارچوب تأییدیه فقط یک بار 0x را لغو کنند.

از کاربران خواسته شده است که مجوزها را لغو کرده و به تأییدیه‌های فقط یک بار تغییر دهند

پس از سوءاستفاده، راهنمایی فوری امنیتی در جوامع کریپتو در حال گردش است.

اقدامات توصیه شده شامل:

• فوراً تمام تأییدیه‌های توکن مرتبط با Matcha Meta و SwapNet را لغو کنید

• مجوزهای کیف پول را در block explorerها یا ابزارهای مدیریت تأییدیه بررسی کنید

• هر زمان که توکن تعویض می‌کنید از تأییدیه‌های فقط یک بار استفاده کنید

• فقط با aggregatorهای قابل اعتماد و حسابرسی قرارداد هوشمند شده تعامل داشته باشید

تأییدیه‌های فقط یک بار تضمین می‌کنند که قراردادهای هوشمند فقط می‌توانند برای یک تراکنش به توکن دسترسی داشته باشند نه به طور نامحدود.

این رویکرد به طور قابل توجهی خطر را کاهش می‌دهد، حتی اگر یک پروتکل بعداً در معرض خطر قرار گیرد.

همانطور که فعالیت امور مالی غیر متمرکز با نام اختصاری دیفای پیچیده‌تر می‌شود، مدیریت مجوز به طور فزاینده‌ای به اندازه امنیت حساب کلید خصوصی مهم می‌شود.

سوءاستفاده‌های امور مالی غیر متمرکز با نام اختصاری دیفای همچنان در حال افزایش است زیرا روش‌های حمله پیچیده‌تر می‌شوند

حادثه Matcha Meta به فهرست رو به رشد نقض‌های با ارزش بالای امور مالی غیر متمرکز با نام اختصاری دیفای در سال‌های 2025 و اوایل 2026 اضافه می‌شود.

به جای باگ‌های ساده قرارداد هوشمند، بسیاری از سوءاستفاده‌های مدرن اکنون شامل موارد زیر هستند:

• سوءاستفاده از مجوز

• ضعف‌های مسیریابی Aggregator

• آسیب‌پذیری‌های پل میان زنجیره ای (پل کراس‌ چین)

• دستکاری نقدینگی

مهاجمان دیگر فقط به خطاهای کدنویسی متکی نیستند، آن‌ها نحوه تعامل کاربران با پروتکل‌ها در طول زمان را مورد سوءاستفاده قرار می‌دهند.

تأییدیه‌های نامحدود، سیستم‌های لایه‌ای قرارداد هوشمند و زیرساخت چند زنجیره‌ای سطح حمله گسترده‌ای ایجاد می‌کنند که هکرها به طور فزاینده‌ای در پیمایش آن ماهر هستند.

شرکت‌های امنیتی بارها هشدار داده‌اند که با گسترش امور مالی غیر متمرکز با نام اختصاری دیفای، مدیریت ریسک در زمان واقعی سمت کاربر باید در کنار حسابرسی قرارداد هوشمند پروتکل بهبود یابد.

بدون استانداردهای بهتر تأییدیه، حفاظت‌های سطح کیف پول و محدودیت‌های تراکنش داخلی، حوادث مشابه احتمالاً ادامه خواهند یافت.

یادآوری تلخی برای کاربران و پلتفرم‌های امور مالی غیر متمرکز با نام اختصاری دیفای

سوءاستفاده 16.8 میلیون دلاری SwapNet به عنوان یک یادآوری دردناک دیگر عمل می‌کند که راحتی در امور مالی غیر متمرکز با نام اختصاری دیفای اغلب به قیمت امنیت حساب تمام می‌شود.

برای کاربران، تأییدیه‌های دائمی می‌توانند به آرامی کیف پول‌ها را به خزانه‌های باز تبدیل کنند.

برای پلتفرم‌ها، سیستم‌های پیچیده aggregator بردارهای ریسکی را معرفی می‌کنند که نیاز به نظارت بر ریسک در زمان واقعی مداوم و قابلیت‌های واکنش سریع دارند.

در حالی که امور مالی غیر متمرکز با نام اختصاری دیفای به سمت پذیرش عمومی ادامه می‌دهد، هر سوءاستفاده اعتماد را کاهش می‌دهد، فشار نظارتی را افزایش می‌دهد و نیاز به زیرساخت ایمن‌تر را تقویت می‌کند.

تا زمانی که سیستم‌های تأییدیه به طور پیش‌فرض محافظت بیشتری از کاربران داشته باشند، مسئولیت همچنان به شدت بر عهده افراد برای ایمن‌سازی کیف پول‌های خود خواهد بود.

در حال حاضر، پیام در سراسر کریپتو روشن است:

• تأییدیه‌های قدیمی را لغو کنید.
• از مجوزهای فقط یک بار استفاده کنید.
• با دسترسی قرارداد هوشمند مانند کلیدهای خصوصی رفتار کنید.

زیرا در امور مالی غیر متمرکز با نام اختصاری دیفای، یک تأییدیه فراموش شده می‌تواند میلیون‌ها دلار هزینه داشته باشد.

افشا: این یک توصیه معاملاتی یا سرمایه گذاری نیست. همیشه قبل از خرید هر ارز دیجیتال یا سرمایه گذاری در هر خدماتی، تحقیقات خود را انجام دهید.

ما را در X @nulltxnews دنبال کنید تا از آخرین اخبار کریپتو، NFT، AI، امنیت سایبری، محاسبات توزیع شده و متاورس به روز بمانید!