El agregador DEX descentralizado on-chain, SwapNet, ha sufrido un gran exploit de smart contract que drenó casi 16.8 millones de dólares en criptoactivos.
El incidente resalta los riesgos de seguridad persistentes relacionados con las aprobaciones de tokens y los contratos de enrutamiento de terceros en las finanzas descentralizadas (DeFi).
SwapNet sufre un exploit de 16,8 millones de dólares
PeckShield informó que el atacante se dirigió a la actividad vinculada a SwapNet a través de Matcha Meta, un agregador DEX desarrollado por el equipo de 0x.
En Base Network, el atacante intercambió aproximadamente 10,5 millones de dólares en USDC por alrededor de 3,655 ETH antes de puentear los fondos a Ethereum, una táctica común utilizada para dificultar el rastreo y la recuperación.
Matcha Meta explicó que la exposición no se originó en su infraestructura principal. En cambio, los usuarios afectados fueron aquellos que habían desactivado el sistema de Aprobación Única (One-Time Approval) de 0x, una función de seguridad diseñada para limitar los permisos continuos de los tokens.
Los usuarios que deshabilitaron esta opción otorgaron aprobaciones directas a los contratos de los agregadores subyacentes, incluido el router de SwapNet, que finalmente se convirtió en la vía del ataque.
“Estamos al tanto de un incidente con SwapNet al que los usuarios pudieron haber estado expuestos en Matcha Meta si desactivaron las Aprobaciones Únicas”, declaró Matcha Meta en un comunicado.
La plataforma confirmó que está colaborando con el equipo de SwapNet, que ha desactivado temporalmente los contratos afectados mientras continúan las investigaciones.
Como precaución, Matcha Meta pidió a los usuarios que revoquen inmediatamente las aprobaciones a los agregadores individuales fuera del marco de Aprobación Única de 0x.
La plataforma resaltó que el contrato del router de SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) es la aprobación más urgente que se debe revocar. Si no se hace, los monederos pueden quedar expuestos incluso después de haberse contenido la explotación.
Compromisos de seguridad en DeFi: conveniencia vs. seguridad ante el aumento de exploits en smart contracts
El incidente refleja una vieja disyuntiva en DeFi entre comodidad y seguridad. Las Aprobaciones Únicas requieren que los usuarios aprueben cada transacción de forma individual, reduciendo las superficies de ataque persistente. Sin embargo, esto también dificulta el uso para los traders frecuentes.
Las aprobaciones ilimitadas, aunque más rápidas, otorgan a los smart contracts acceso permanente a los fondos de los usuarios. Pero esto se vuelve peligroso si esos contratos son vulnerados.
SwapNet aún no ha publicado un informe técnico completo ni ha indicado si compensará a los usuarios afectados. Por ahora, quedan dudas sobre la responsabilidad y la recuperación.
La falta de claridad inmediata probablemente aumentará el escrutinio sobre las prácticas de aprobación y las integraciones de agregadores en todo el ecosistema DeFi.
El exploit ocurre en medio de un patrón más amplio de ataques a smart contracts e incidentes de seguridad en el mercado cripto.
El mismo día, el auditor de seguridad Pashov detectó una explotación diferente en la mainnet de Ethereum que involucró aproximadamente 37 WBTC, valorados en más de 3,1 millones de dólares.
Este caso estuvo relacionado con un contrato cerrado y no verificado desplegado apenas 41 días antes. El contrato publicó solo bytecode no legible por humanos, evitando así la revisión pública.
En conjunto, estos incidentes muestran que aún existen muchas oportunidades para los atacantes en DeFi. Estos factores son:
- Código no verificado
- Aprobaciones persistentes, y
- Capas de enrutamiento complejas.
A pesar de años de auditorías y mejoras de seguridad, DeFi sigue enfrentando vulnerabilidades estructurales. Esto pone la responsabilidad en los desarrolladores y usuarios para equilibrar usabilidad y gestión de riesgos.
El post Agregador DEX on-chain pierde $17 millones tras exploit de smart contract fue visto por primera vez en BeInCrypto.