Matcha Meta、1680万ドルの損失後にハッキングを認める

Web3セキュリティプラットフォームのPeckShieldによると、0xが構築したスワップおよびブリッジ集約プラットフォームであるMatcha Metaは、SwapNetのセキュリティ侵害により1,680万ドル相当のデジタル資産を失ったという。.

Matcha Metaは月曜日、週末にセキュリティエクスプロイトの被害に遭ったことを明らかにした。攻撃者はMatcha Metaのインターフェースに統合されたSwapNetと呼ばれる外部アグリゲーターからトークンを詐取した。プラットフォームによると、「ワンタイム承認」機能を無効化し、個々のアグリゲーターに直接トークンの承認を与えたユーザーは、資金を失うリスクにさらされていたという。.

ワンタイム承認をオフにしたユーザーがMatcha MetaでSwapNetのインシデントに遭遇した可能dent があることを認識しています。

SwapNetチームと連絡を取り、彼らは一時的にtracを無効にしました。

チームは積極的に調査を行っており、… を提供します。

— 抹茶メタ🎆 (@matchametaxyz) 2026年1月25日

スワップアグリゲーターMMはXに関する声明の中で、SwapNetのルーター契約から不正なトークンの大規模な移動が取引tracに記録された後、不審な活動に気付いたと述べています。プラットフォームはSwapNetチームに連絡し、さらなる損失を防ぐため「一時的にtracを無効化」したことを確認しました。. 

Matcha Meta のハッカーが被害者から 3,000 イーサリアムを交換

ブロックチェーンセキュリティ企業PeckShield、攻撃者はトークンの承認とスワップを通じて資金を流出させた。彼らは、イーサリアムのレイヤー2ブロックチェーンであるBase上の被害者のアドレスから約1,050万USDCを移動させ、その後、このステーブルコインを3,655イーサリアムにスワップすることで、より流動性の高い資産へと価値を統合した。

スワップ完了後、攻撃者はトランザクションの痕跡を隠すため、イーサリアム・ベースから Ethereum ネットへのイーサのブリッジを開始しました。ブリッジとは、スマートtracや仲介プロトコルを用いてブロックチェーン間で資産を移転するプロセスです。多くの場合「合法」とみなされますが、ハッカーがこれを利用するのは、操作の tracがほぼ不可能になるためです。.

犯人は以前、ユーザーの署名なしに資金を移動するためのトークン許可を付与していました。これは、スマートコントラクトtracトークンの使用を許可するものです。許可が無制限に設定されている場合、悪意のあるコントラクトや侵害されたtrac、残高がなくなるまで資金を流出させる可能性があります。

Matcha Metaは、ワンタイム承認システムを使用してプラットフォームとやり取りしたユーザーには影響がないと述べています。この機能は、トークンの承認を0xのAllowanceHolder契約とSettler契約にルーティングし、単一の取引に対して承認を与えることでトレーダーのtracを軽減します。. 

「0xのプロトコルチームと検討した結果、今回のdent の性質は0xのAllowanceHolder契約またはSettlertracとは関連がないことが確認されました」とMatcha Metaは後にXに投稿した。同社はさらに、ワンタイム承認を無効にし、アグリゲーターtracで直接Allowanceを設定したユーザーは「各アグリゲーターのリスクを負う」と付け加えた。

0x のプロトコル チームと検討した結果、このdent の性質は 0x の AllowanceHolder または Settler のtracとは関係がないことが確認されました。.

したがって、ワンタイム承認を介して Matcha Meta とやり取りしたユーザーは安全です。.

ワンタイムを無効にしているユーザー… https://t.co/VQVmj4LL0F

— 抹茶メタ🎆 (@matchametaxyz) 2026年1月25日

DEXスワッププラットフォームは、ユーザーがインターフェースを通じてアグリゲーターに直接許可を設定する機能を削除し、コミュニティにSwapNetのルーター契約tracの既存の権限を取り消すように求めました。. 

DeFi スマートtracのハッキングは2026年も続く

Matcha Metadent 、自動実行機能を備えた分散型金融プロトコルである Makina Finance がネットワーク侵害を受け、Curve 上の DUSD/USDC 流動性プールが枯渇してからわずか 6 日後に発生した。.

Cryptopolitanの報道によるとマキナのCurveステーブルコインプールから約1,299イーサ（当時413万ドル相当）を盗み出しました。この侵害には、スマートコントラクトが資産価値を決定するために使用するデータフィードであるオンチェーン価格オラクルに接続された非カストディアル流動性プロバイダーが関与していtractrac。

ブロックチェーン分析会社エリプティックによると、今日のダークウェブでのマネーロンダリングの多くは、独立したウェブサイトやテレグラムのチャンネルを通じて運営されるインスタント取引所を含むコインスワップサービスに関連している。.

昨年、分散型取引所アグリゲーターCoWSwapは、18万ドル以上の損失をもたらした侵害を報告しました。CoWSwapの取引執行GPv2Settlementスマートtracを通じて、約18万ドル相当のDAIが盗まれました。.

プラットフォームによると、侵害されたtracは、ソルバーアカウントの不正利用によって1週間に徴収されたプロトコル手数料にのみアクセスできたという。CoWSwapのモデルでは、ユーザーが取引意思を表明し、それがサードパーティのソルバーに渡され、ソルバーは最良の価格を提示し、徴収した手数料を保管するために競争する。.

最も賢い暗号通貨マインドを持つ人々はすでに私たちのニュースレターを読んでいます。参加してみませんか？ぜひご参加ください。