取引所DEX+

暗号資産を購入市場現物取引先物取引GOLD MEXC Earn イベントセンター

Matcha Metaは、攻撃者が直接トークン承認を悪用した後、約1680万ドルが流出したSwapNet関連のセキュリティ侵害を開示しました。Matcha Metaは、攻撃者が直接トークン承認を悪用した後、約1680万ドルが流出したSwapNet関連のセキュリティ侵害を開示しました。

Matcha Meta、1,680万ドルの損失後にハッキングを確認

著者：Cryptopolitan

出典：Cryptopolitan

2026/01/26 17:30

Web3セキュリティプラットフォームPeckShieldによると、0xが構築したスワップおよびブリッジアグリゲーションプラットフォームMatcha Metaは、SwapNetのセキュリティ侵害により1,680万ドル相当のデジタル資産を失いました。

Matcha Metaは月曜日、週末にセキュリティ侵害を受けたことを明らかにしました。攻撃者は、Matcha Metaのインターフェースに統合された外部アグリゲーターSwapNetからトークンを詐取しました。プラットフォームは、「ワンタイム承認」機能を無効にし、個々のアグリゲーターに直接トークン権限を付与したユーザーが資金を失うリスクにさらされていると述べました。

スワップアグリゲーターのX上の声明で、MMは、SwapNetのルーターコントラクトからの大規模な不正トークン移動の記録が取引記録に現れた後、疑わしい活動を認識したと述べました。プラットフォームは、さらなる損失を防ぐためSwapNetチームに連絡し、同チームが「一時的にコントラクトを無効化した」ことを確認しました。

Matcha Metaのハッカーは被害者から3,000イーサを交換

ブロックチェーンセキュリティ企業PeckShieldによると、攻撃者はトークン承認とスワップを介して資金を流出させました。攻撃者は、イーサリアムレイヤー2ブロックチェーンであるBase上の被害者アドレスから約1,050万USDCを移動させ、そのステーブルコインを3,655イーサに交換し、より流動性の高い資産に価値を集約しました。

スワップ完了後、攻撃者は取引の痕跡を隠すため、Baseからイーサリアムメインネットへのイーサのブリッジを開始しました。ブリッジとは、スマートコントラクトまたは仲介プロトコルを使用してブロックチェーン間で資産を転送するプロセスです。ほとんどの場合「正当」と見なされますが、ハッカーは追跡をほぼ不可能にするためにこれを使用します。

犯人は以前、ユーザーの署名なしに資金を移動させるトークン承認を付与していました。これはスマートコントラクトがトークンを使用する許可を与えるものです。承認が無制限に設定されている場合、悪意のあるまたは侵害されたコントラクトは残高が枯渇するまで資金を流出させる可能性があります。

Matcha Metaは、ワンタイム承認システムを使用してプラットフォームと対話したユーザーは影響を受けなかったと述べました。この機能は、0xのAllowanceHolderおよびSettlerコントラクトを介してトークン権限をルーティングし、単一の取引に対して承認を付与することでトレーダーのリスクを制限します。

「0xのプロトコルチームと確認した結果、インシデントの性質は0xのAllowanceHolderまたはSettlerコントラクトとは関連していないことを確認しました」と、Matcha MetaはX上で後に述べました。同社は、ワンタイム承認を無効にし、アグリゲーターコントラクトに直接承認を設定したユーザーは「各アグリゲーターのリスクを負う」と付け加えました。

分散型取引所スワッププラットフォームは、インターフェースを通じてアグリゲーターに直接承認を設定する機能を削除し、コミュニティにSwapNetのルーターコントラクトの既存の権限を取り消すよう求めました。

2026年も分散型金融スマートコントラクトハッキングが継続

Matcha Metaのインシデントは、自動実行機能を備えた分散型金融プロトコルMakina FinanceがCurve上のDUSD/USDC流動性プールを流出させるネットワーク侵害を受けてからわずか6日後に発生しました。

Cryptopolitanが報じたところによると、ハッカーはMakinaのCurveステーブルコインプールから約1,299イーサ、当時の価値で413万ドルを抽出しました。侵害には、オンチェーン価格オラクル(スマートコントラクトが資産価値を決定するために使用するデータフィード)に接続された非カストディアル型流動性プロバイダーが関与していました。

ブロックチェーン分析企業Ellipticによると、今日のダークウェブマネーロンダリングの多くは、スタンドアロンウェブサイトやTelegramチャネルを通じて実行されるインスタント取引所を含むコインスワップサービスに関わっています。

昨年、分散型取引所アグリゲーターCoWSwapは、18万ドル以上の損失をもたらす侵害を報告しました。約18万ドル相当のDAIが、CoWSwapの取引実行GPv2Settlementスマートコントラクトを通じて盗まれました。

プラットフォームによると、侵害されたコントラクトは、ソルバーアカウントの悪用に起因する1週間にわたって収集されたプロトコル手数料のみにアクセスできました。CoWSwapのモデルでは、ユーザーは取引意図に署名し、それがサードパーティのソルバーに渡され、ソルバーは最良の価格を提供し、収集された手数料を保存するために競争します。

最も賢明な暗号資産の専門家たちはすでに私たちのニュースレターを読んでいます。参加しませんか?彼らに加わりましょう。

免責事項：このサイトに転載されている記事は、公開プラットフォームから引用されており、情報提供のみを目的としています。MEXCの見解を必ずしも反映するものではありません。すべての権利は原著者に帰属します。コンテンツが第三者の権利を侵害していると思われる場合は、削除を依頼するために service@support.mexc.com までご連絡ください。MEXCは、コンテンツの正確性、完全性、適時性について一切保証せず、提供された情報に基づいて行われたいかなる行動についても責任を負いません。本コンテンツは、財務、法律、その他の専門的なアドバイスを構成するものではなく、MEXCによる推奨または支持と見なされるべきではありません。