Matcha MetaがSwapNetのエクスプロイトで1,680万ドルの流出被害

分散型取引プラットフォームMatcha Metaは、SwapNet契約に関する重大なセキュリティインシデントにより、推定1,680万ドルの資産が盗まれた後、動揺している。

ブロックチェーンセキュリティー企業PeckShieldが最初にこのエクスプロイトを発見し、攻撃者が盗まれた資金の大部分を迅速にイーサリアムに変換してから、クロスチェーンで資産をブリッジし始めたことを明らかにした。

この侵害により、影響を受けた契約は即座にシャットダウンされ、Matcha Metaはさらなる損失を抑えるために急いで対応した。SwapNet契約は現在一時的に無効化されており、プラットフォーム全体で直接のアグリゲーター許可が削除されている。

調査は継続中であるが、ユーザー資金が回収されたかどうかは依然として不明である。

この事件は、分散型金融における恒久的なトークン承認と複雑なアグリゲーターインフラストラクチャに関連する増大するリスクを改めて浮き彫りにしている。

攻撃者はイーサリアムへのブリッジ前にBase上で数百万ドルを変換

オンチェーンデータは、エクスプロイトが急速に展開したことを示している。

攻撃者はBaseに焦点を当て、短時間で約1,050万ドルのUSDCが約3,655 ETHにスワップされた。変換が完了すると、資金はすぐにイーサリアムに移動された。これは、より深い流動性とより広範な分散型金融インフラストラクチャのため、一般的なマネーロンダリングルートである。

このパターンは、最近の多くの分散型金融エクスプロイトを反映しており、攻撃者は次のことを行う：

• スマートコントラクトから資産を流出

• ETHのような高流動性トークンに変換

• ネットワーク間で資金をブリッジ

• 分散型プロトコルを使用して痕跡を不明瞭にする

実行のスピードは、攻撃者が十分に準備されており、攻撃前にSwapNetの契約動作を注意深く監視していた可能性を示唆している。

セキュリティアナリストは、資金がイーサリアムブロックチェーンベースのアドレスに広がる中、ウォレットの動きを追跡し続けている。

緊急対応開始によりSwapNet契約が無効化

Matcha Metaは、エクスプロイトが表面化するとすぐに迅速に行動した。

チームは、すべてのSwapNet契約が一時的にシャットダウンされ、Matcha Metaに直接関連付けられたアグリゲーター許可が予防措置として削除されたことを確認した。

この緊急措置は、セキュリティーチームが侵害を分析している間、さらなる不正な転送を防ぐことを目的としている。

ただし、契約を無効にしても、オンチェーンで既に実行されたトランザクションは取り消されないため、マネーロンダリングプロセスの後半で集中型オフランプが資産を凍結しない限り、盗まれた資金は回収不可能である可能性が高い。

これまでのところ、Matcha Metaは、影響を受けたユーザーに対して保険資金、払い戻し、または回復努力が展開されるかどうかを確認していない。

プラットフォームは、すべてのユーザーに、アグリゲーターにリンクされた既存のトークン承認を直ちに確認して取り消すよう促している。

恒久的なトークン承認が中核リスクとして特定

このエクスプロイトは、分散型金融の最も危険な設計上の欠陥の1つである無制限のトークン承認を改めて露呈した。

多くのユーザーは、トークンスワップ時の利便性のために、アグリゲーターやスマートコントラクトに恒久的な許可を付与している。これにより摩擦は減少するが、常時的な脆弱性も生み出される。

悪意のある行為者が侵害された契約やエクスプロイト経路へのアクセスを取得すると、さらなるユーザー署名を必要とせずに、承認されたウォレットを即座に流出させることができる。

最もリスクが高いのは：

• アグリゲーターへの長期承認を持つユーザー

• ワンタイム承認システムをバイパスするウォレット

• 新しいスマートコントラクトとやり取りするトレーダー

セキュリティの専門家は現在、特に実験的な分散型金融インフラストラクチャを使用する場合、無制限の承認は完全に避けるべきであると強調している。

Matcha Metaは特に、ユーザーに対して、0xのワンタイム承認フレームワーク以外のSwapNetおよびその他のアグリゲーターに接続された承認を取り消すよう助言した。

ユーザーは許可の取り消しとワンタイム承認への切り替えを促される

エクスプロイトの余波で、緊急のセキュリティーガイダンスが暗号資産コミュニティ全体に広まっている。

推奨されるアクションには次のものが含まれる：

• Matcha MetaおよびSwapNetにリンクされたすべてのトークン承認を直ちに取り消す

• ブロックエクスプローラーまたは承認管理ツールでウォレット許可を確認する

• トークンスワップ時には常にワンタイム承認を使用する

• 信頼され監査されたアグリゲーターとのみやり取りする

ワンタイム承認により、スマートコントラクトは無期限ではなく、単一のトランザクションに対してのみトークンにアクセスできるようになる。

このアプローチは、プロトコルが後で侵害された場合でも、リスクを大幅に削減する。

分散型金融活動がより複雑になるにつれて、許可管理は秘密鍵のセキュリティーと同じくらい重要になりつつある。

攻撃方法がより洗練されるにつれて分散型金融エクスプロイトが増加し続ける

Matcha Metaの事件は、2025年から2026年初頭にかけての高額な分散型金融侵害の増加リストに追加される。

単純なスマートコントラクトのバグではなく、多くの現代のエクスプロイトには次のものが含まれるようになった：

• 許可の悪用

• アグリゲーターのルーティングの弱点

• クロスチェーンブリッジの脆弱性

• 流動性操作

攻撃者はもはやコーディングエラーのみに依存せず、ユーザーが時間の経過とともにプロトコルとどのようにやり取りするかを悪用する。

無制限の承認、階層化されたスマートコントラクトシステム、およびマルチチェーンインフラストラクチャは、ハッカーがますます巧みにナビゲートする拡大する攻撃対象領域を作り出している。

セキュリティー企業は、分散型金融が拡大するにつれて、プロトコル監査と並行してユーザー側のリスク管理を改善する必要があると繰り返し警告している。

より良い承認基準、ウォレットレベルのセーフガード、および組み込みのトランザクション制限がなければ、同様の事件が続く可能性が高い。

分散型金融ユーザーとプラットフォームの両方への厳しい注意喚起

1,680万ドルのSwapNetエクスプロイトは、分散型金融における利便性がしばしばセキュリティーを犠牲にしてもたらされるという、もう一つの痛ましいリマインダーとなる。

ユーザーにとって、恒久的な承認は静かにウォレットを開かれた金庫に変える可能性がある。

プラットフォームにとって、複雑なアグリゲーターシステムは、継続的な監視と迅速な対応能力を必要とするリスクベクトルを導入する。

分散型金融が主流の採用に向けて推進し続ける一方で、各エクスプロイトは信頼を遅らせ、規制圧力を増大させ、より安全なインフラストラクチャの必要性を強化する。

承認システムがデフォルトでよりユーザー保護的になるまで、責任は個人がウォレットを保護することに重くのしかかり続ける。

今のところ、暗号資産全体のメッセージは明確である：

• 古い承認を取り消す。
• ワンタイム許可を使用する。
• スマートコントラクトアクセスを秘密鍵のように扱う。

なぜなら、分散型金融では、忘れられた1つの承認が数百万ドルの損失につながる可能性があるからだ。

免責事項：これは取引または投資のアドバイスではありません。暗号資産を購入したり、サービスに投資したりする前に、必ず自分で調査してください。

Twitter@nulltxnewsでフォローして、最新の暗号資産、NFT、AI、サイバーセキュリティ、分散コンピューティング、およびメタバースニュースで最新情報を入手してください！