Matcha Meta, ein großer DEX-Aggregator, der auf 0x basiert, hat von einer ernsten Sicherheitslücke bei seinem Liquiditätsanbieter Swapnet berichtet. Sicherheitsfirmen sagen, dass durch den Angriff bis zu 16,8 Millionen Dollar in Kryptowährung von den Nutzern abgezogen wurden.
Der Angriff zielte auf Genehmigungen ab, die Nutzer zuvor für den Router-Vertrag von Swapnet für den Handel erteilt hatten. Matcha Meta sagte, dass Nutzer, die die Funktion „Einmalige Genehmigungen” deaktiviert und stattdessen manuelle Genehmigungen erteilt hatten, am stärksten gefährdet waren.
Was die Angreifer mit den gestohlenen Geldern gemacht haben
On-Chain-Recherchen zeigen, dass der Angreifer etwa 11 Millionen USDC gegen 3.655 ETH im Base-Netzwerk getauscht hat. Danach haben sie angefangen, die ETH von Base zu Ethereum zu übertragen, was die Wiederherstellung und Überwachung erschwert.
Die Schätzungen zum Gesamtverlust gehen ein bisschen auseinander. Laut PeckShield und anderen Forschern lag der gestohlene Betrag eher bei 16,8 Millionen Dollar, während CertiK angibt, dass etwa 13,3 Millionen Dollar abgezogen wurden.
Reaktion von Matcha Meta und Swapnet
Matcha Meta meinte, das Problem liege im Smart Contract von Swapnet und nicht in der Kerninfrastruktur. Nach einer Warnung von Matcha Meta und Sicherheitsforschern hat das Swapnet-Team den anfälligen Vertrag deaktiviert, um weiteren Schaden zu verhindern.
Sowohl Matcha Meta als auch Sicherheitsfirmen haben die Nutzer aufgefordert, alle Token-Genehmigungen für Swapnet-Verträge als Sicherheitsmaßnahme zu widerrufen. Nutzer, die das Einmal-Autorisierungssystem von Matcha Meta beibehalten haben, scheinen laut ersten Berichten direkte Verluste vermieden zu haben.
Der Hack macht auf die wachsenden Gefahren von DeFi-Integrationen aufmerksam, bei denen ein einziger fehlerhafter Smart Contract mehrere verbundene Systeme beeinträchtigen kann. Mit Dutzenden von dokumentierten Fällen im Jahr 2025 waren Schwachstellen in Smart Contracts bereits der häufigste Grund für Bitcoin-Verstöße.
Die Sicherheitslücke bei Swapnet wird gerade untersucht, und die Opfer haben noch keine bestätigte Strategie, um ihre Verluste wieder reinzuholen. Forscher und Prüfer fordern, dass Verträge von Drittanbietern genauer geprüft werden, bevor DeFi-Aggregatoren die Zahlungen der Nutzer über sie weiterleiten.
WEITERLESEN: Solana-Kursanalyse: Warum SOL niedrigere Niveaus erneut testen könnte
