分散型金融(DeFi)のトレーディングアグリゲーターであるマッチャ・メタは、統合されたSwapNet流動性プールに関連する重大なエクスプロイトを確認しました。金曜日の深夜に発生したこの侵害により、ユーザーウォレットから合計で約1,680万ドル(推定1,550万ドル〜1,680万ドル)のデジタル資産が不正に流出しました。
### エクスプロイトのメカニズム
初期調査によると、攻撃者はSwapNetプロトコルのスマートコントラクトロジック内の重大な脆弱性を悪用しました。具体的には、アグリゲート取引時にユーザー資金が移動する際に使用されるトークン承認委任メカニズムの欠陥が標的となりました。攻撃者は、SwapNetコントラクトにおける入力検証の不備を利用して認証チェックを回避し、以前、当該コントラクトに無制限のトークン承認を与えていたユーザーの資産を引き出しました。盗まれた資産(ETH、USDC、DAIなど)は直ちに変換され、プライバシーサービスを経由してルーティングされたため、追跡が困難になっています。
### 影響と対応
このインシデントは数百の高額口座に影響を及ぼしました。異常を検出したマッチャ・メタチームは、SwapNetにリンクされているすべての取引サービスを直ちに停止しました。公式声明では、この攻撃がマッチャ・メタのコアインフラストラクチャではなく、「統合されたSwapNetコントラクト依存関係」に対するものであることを強調しています。同プラットフォームは現在、すべてのユーザーに対し、既存のパーミッションを直ちに失効させるよう強く推奨しており、法執行機関やセキュリティ監査会社と協力して資産の追跡とユーザーへの補償計画策定を進めています。このインシデントは、相互接続されたサードパーティのスマートコントラクトに依存するDeFiのセキュリティリスクの深刻さを改めて示しています。
Source: Matcha Meta breach tied to SwapNet exploit drains up to $16.8M
コメント