On-chain gedecentraliseerde crypto-exchange (DEX) aggregator SwapNet is slachtoffer geworden van een grote smart contract-hack waarbij bijna $16,8 miljoen aan crypto-assets is gestolen.
Dit incident laat zien dat er nog steeds belangrijke beveiligingsrisico’s zijn rond token-goedkeuringen en routing-contracten van derden in decentralized finance (DeFi).
SponsoredOn-chain DEX-aggregator SwapNet getroffen door $16,8 miljoen exploit
Volgens PeckShield richtte de hacker zich op SwapNet-activiteiten via Matcha Meta, een meta DEX-aggregator gemaakt door het 0x-team.
Op het Base-netwerk heeft de hacker ongeveer $10,5 miljoen aan USDC geruild voor zo’n 3.655 ETH voordat hij het geld naar Ethereum bridge-de, een tactiek die vaak wordt gebruikt om het opsporen en terughalen moeilijker te maken.
Matcha Meta liet weten dat het lek niet van hun eigen infrastructuur kwam. De getroffen gebruikers hadden er juist voor gekozen om geen gebruik te maken van het One-Time Approval-systeem van 0x, dat bedoeld is om voortdurende token-rechten te beperken.
Gebruikers die deze optie hadden uitgezet, gaven directe goedkeuring aan aggregator-contracten, waaronder de router van SwapNet. Dit werd uiteindelijk het doelwit van de hack.
“We zijn op de hoogte van een incident bij SwapNet dat gebruikers kan hebben geraakt op Matcha Meta, vooral als ze de One-Time Approvals hebben uitgeschakeld,” zei Matcha Meta in een verklaring.
Het platform heeft bevestigd dat ze samenwerken met het SwapNet-team, dat de getroffen contracten tijdelijk heeft uitgeschakeld tijdens het lopend onderzoek.
Sponsored SponsoredUit voorzorg vraagt Matcha Meta gebruikers om direct hun goedkeuring voor afzonderlijke aggregators buiten het One-Time Approval-systeem van 0x in te trekken.
De belangrijkste goedkeuring die ingetrokken moet worden is die van het router-contract van SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e). Wie dat niet doet, loopt het risico dat zijn wallet kwetsbaar blijft, zelfs na het dichten van het lek.
DeFi’s security trade-offs: gemak vs. veiligheid bij stijgende smart contract-exploits
Dit incident laat het aanhoudende spanningsveld in DeFi zien tussen gemak en veiligheid. Bij One-Time Approvals moeten gebruikers elke transactie apart goedkeuren, waardoor langdurige risico’s worden verkleind. Maar voor actieve handelaren maakt dat het handelen minder makkelijk.
SponsoredOneindige goedkeuringen maken het handelen sneller, maar geven smart contracts blijvende toegang tot de fondsen van de gebruiker. Dit wordt gevaarlijk als zo’n contract wordt gehackt.
SwapNet heeft nog geen volledig technisch onderzoek gedeeld of aangegeven of getroffen gebruikers worden gecompenseerd. Daardoor blijft het onduidelijk wie er verantwoordelijk is en hoe men mogelijk kan worden gecompenseerd.
Het ontbreken van snelle duidelijkheid zorgt waarschijnlijk voor meer aandacht rondom goedkeuringspraktijken en de manier waarop aggregators in het DeFi-ecosysteem worden geïntegreerd.
Nieuwe Ethereum-exploit toont risico’s van niet-gecontroleerde, gesloten smart contracts
Deze hack past in een bredere trend van smart contract-aanvallen en veiligheidsincidenten op de cryptomarkt.
Sponsored SponsoredOp dezelfde dag signaleerde beveiligingsauditor Pashov een andere Ethereum-mainnet hack, dit keer met ongeveer 37 WBTC ter waarde van meer dan $3,1 miljoen.
Dit was gekoppeld aan een gesloten, niet-gecontroleerd contract dat slechts 41 dagen eerder was geplaatst. In het contract stond alleen onleesbare bytecode, waardoor publiek controleren onmogelijk was.
Samen laten deze incidenten zien dat DeFi een aantrekkelijke omgeving blijft voor aanvallers. Belangrijke zwakke punten zijn:
- Niet-gecontroleerde code
- Voortdurende goedkeuringen
- Complexe routinglagen
Ondanks jaren van controles en veiligheidsverbeteringen blijft DeFi gevoelig voor structurele zwaktes. Dit betekent dat ontwikkelaars én gebruikers steeds de afweging moeten maken tussen gebruiksgemak en risicobeheer.
