L'agrégateur DEX victime d'une exploitation de SwapNet de 16,8 millions de dollars après contournement de l'approbation

• Annonce -

L’agrégateur de bourses décentralisées Matcha Meta a confirmé un incident de sécurité lié à son intégration SwapNet, entraînant une perte estimée à 16,8 millions de dollars.

La faille a d’abord été signalée par la société de sécurité blockchain PeckShield, puis une analyse technique plus approfondie a été fournie ultérieurement par CertiK.

Ce qui n’a pas fonctionné

Selon les conclusions partagées par des chercheurs en sécurité, l’exploit a ciblé spécifiquement les utilisateurs qui avaient désactivé la fonctionnalité « One-Time Approval » de Matcha Meta. En choisissant de s’y soustraire, ces utilisateurs ont accordé des autorisations persistantes directement au contrat de l’« SwapNet router », créant une surface d’attaque qui a ensuite été exploitée.

#PeckShieldAlert Matcha Meta a signalé une faille de sécurité impliquant SwapNet. Les utilisateurs qui se sont retirés de “One-Time Approvals” sont exposés à un risque.

À ce jour, environ 16,8 M$ de crypto ont été vidés.

Sur #Base, l’attaquant a échangé ~10,5 M $USDC contre ~3 655 $ETH et a commencé à transférer des fonds vers… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 janvier 2026

CertiK a identifié la cause première comme une vulnérabilité de « appel arbitraire » dans le contrat SwapNet. Ce défaut a permis à un attaquant de lancer des transferts non autorisés à partir de portefeuilles qui avaient auparavant approuvé le routeur, en contournant ainsi les protections habituelles.

Mouvement des fonds et périmètre

L’activité on-chain montre que l’attaquant a échangé environ 10,5 millions de dollars en USDC sur Base contre environ 3 655 ETH, avant de transférer les actifs vers Ethereum. Le mouvement inter-chaînes semble conçu pour compliquer le suivi et les efforts de récupération.

Point important : l’incident n’a pas touché l’ensemble des utilisateurs de Matcha. L’exposition était limitée aux portefeuilles qui avaient désactivé manuellement les approbations à durée unique et accordé des permissions directes aux contrats SwapNet.

                Bitcoin dépasse l’or et l’argent dans le sondage d’investissement de 100 000 $

Mesures de réponse d’urgence

En réponse à l’exploit, Matcha Meta a pris plusieurs mesures immédiates :

• Les contrats SwapNet ont été suspendus pour empêcher de nouvelles pertes.
• Les utilisateurs ont été invités à révoquer les approbations existantes, en particulier pour le contrat de l’« SwapNet router »
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• La plateforme a supprimé l’option de désactiver les approbations à durée unique, afin de réduire les risques similaires à l’avenir.

L’incident met en évidence les compromis de sécurité associés aux approbations persistantes de contrats et renforce l’importance d’effectuer régulièrement des revues des permissions, en particulier lors de l’interaction avec des agrégateurs et des contrats de routage.