- O incidente envolve a plataforma Matcha Meta, com cerca de $16,8 milhões em ativos criptográficos drenados; ocorreu no domingo e não foi causado pela infraestrutura central da Matcha.
- Usuários que desativaram o recurso “One-Time Approval” e concederam permissões diretas a contratos de agregador ficaram expostos; a empresa pediu a revogação imediata das aprovações ligadas ao contrato do roteador da SwapNet.
- Segundo a análise, o atacante swapou cerca de $10,5 milhões em USDC por aproximadamente 3.655 ETH na rede Base, posteriormente bridando os ativos para Ethereum; uma carteira also teriam siphonado cerca de $13,3 milhões em USDC na Base e convertido em wrapped Ether.
- A SwapNet foi apontada como a vulnerabilidade que permitiu chamadas arbitrárias, mas a Matcha esclareceu que o incidente não está relacionado aos contratos AllowanceHolder ou Settler da 0x nem aos usuários que utilizavam o One-Time Approvals.
- O episódio enfatiza o risco persistente das aprovações de token em DeFi; relatório da SlowMist aponta que vulnerabilidades em contratos inteligentes foram responsáveis por pouco mais de 30% das exploits em 2025.
O que aconteceu: um hacking ligado ao agregador de exchanges descentralizadas Matcha Meta resultou no furto de cerca de US$ 16,8 milhões. O ataque ocorreu no domingo e teve origem no provedor de liquidez SwapNet, integrado à plataforma.
Quem está envolvido: autor desconhecido, com uso de contratos de SwapNet para driblar permissões. A Matcha Meta informou que o problema não atingiu a infraestrutura central, e sim o contrato do provedor de liquidez.
Quando e onde: o incidente foi rastreado como ocorrido no fim de semana, abrangendo a rede Base com posterior ponte para Ethereum. As operações envolveram transações on-chain analisadas por firmas de segurança.
Por quê: o alerta aponta para uma falha em permissões antigas de tokens, permitindo chamadas arbitrárias no contrato SwapNet. Usuários que mantinham permissões diretas eram mais vulneráveis.
Impacto inicial e respostas: PeckShield identificou que cerca de US$ 16,8 milhões foram drenados, com parte convertido de USDC para ETH. Certos ativos foram movidos entre redes para Ethereum.
Resposta da Matcha: a plataforma explicou que quem utilizou o sistema One-Time Approval não foi afetado. Para demais usuários, foi solicitada a revogação imediata das autorizações ligadas ao contrato do roteador SwapNet.
Medidas adotadas: a equipe de Matcha removeu a opção de permitir permissões diretas a contratos de agregação. O objetivo é evitar novas exploração por meio de chamadas não autorizadas.
Contexto de segurança no DeFi: especialistas destacam que permissões de tokens são uma vulnerabilidade recorrente. Permissões ativas por longos períodos facilitam desvios após falhas em contratos.
Dados de referência: a SlowMist aponta que vulnerabilidades em smart contracts representaram mais de 30% das explorações de criptomoedas em 2025. Pesquisadores alertam sobre avanços em IA acelerando ataques.
Situação atual: especialistas continuam monitorando transfers entre redes e a evolução das investidas contra plataformas DeFi. Novas tentativas de acesso sem autorização permanecem em alta nos cenários de contratos inteligentes.
Entre na conversa da comunidade