L'agrégateur DEX victime d'une exploitation de SwapNet de 16,8 millions de dollars après contournement de l'approbation

• Annonce -

L’agrégateur de bourses décentralisées Matcha Meta a confirmé un incident de sécurité lié à son intégration SwapNet, entraînant une perte estimée à 16,8 millions de dollars.

La violation a d’abord été signalée par la société d’audit de sécurité blockchain PeckShield, puis une analyse technique plus approfondie a été fournie par CertiK.

Ce qui n’a pas fonctionné

D’après les constats partagés par des chercheurs en sécurité, l’exploit a ciblé spécifiquement les utilisateurs qui avaient désactivé la fonctionnalité « One-Time Approval » de Matcha Meta. En choisissant de ne pas l’activer, ces utilisateurs ont accordé des autorisations persistantes directement au contrat du routeur SwapNet, créant une surface d’attaque qui a ensuite été exploitée.

#PeckShieldAlert Matcha Meta a signalé une faille de sécurité impliquant SwapNet. Les utilisateurs qui ont refusé les « One-Time Approvals » sont exposés.

Jusqu’à présent, environ 16,8M$ de crypto ont été vidés.

Sur #Base, l’attaquant a échangé environ 10,5M $USDC contre environ 3 655 $ETH et a commencé à transférer les fonds vers… pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 janvier 2026

CertiK a identifié la cause première comme une vulnérabilité d’« appel arbitraire » dans le contrat SwapNet. Cette faille a permis à un attaquant d’initier des transferts non autorisés depuis des portefeuilles qui avaient auparavant approuvé le routeur, contournant ainsi les garde-fous habituels.

Mouvement des fonds et périmètre

L’activité en chaîne montre que l’attaquant a échangé environ 10,5 millions de dollars en USDC sur Base contre environ 3 655 ETH, avant de pont (bridge) les actifs vers Ethereum. Le mouvement inter-chaînes semble conçu pour compliquer le suivi et les efforts de récupération.

Fait important, l’incident n’a pas touché tous les utilisateurs de Matcha. L’exposition a été limitée aux portefeuilles qui avaient manuellement désactivé les approbations à une seule fois et accordé des permissions directes aux contrats SwapNet.

                Bitcoin dépasse l’or et l’argent dans un sondage d’investissement à 100 000 $

Mesures de réponse d’urgence

En réponse à l’exploit, Matcha Meta a pris plusieurs mesures immédiates :

• Les contrats SwapNet ont été suspendus pour empêcher de nouvelles pertes.
• Les utilisateurs ont été invités à révoquer les autorisations existantes, en particulier pour le contrat du routeur SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• La plateforme a supprimé l’option permettant de désactiver les approbations à une seule fois, dans le but de réduire les risques similaires à l’avenir.

L’incident met en évidence les compromis en matière de sécurité associés aux approbations persistantes des contrats et renforce l’importance de procéder régulièrement à des revues des permissions, en particulier lors de l’interaction avec des agrégateurs et des contrats de routage.