Nelle ultime ore un grave attacco a SwapNet, veicolato tramite le impostazioni di approvazione dei token su Matcha Meta, ha portato al furto di circa 16,8 milioni di dollari.
Summary
Contesto dell’incidente e ruolo di PeckShield
La piattaforma di sicurezza blockchain PeckShieldAlert ha segnalato una grave violazione che ha coinvolto SwapNet e gli utenti che interagivano tramite Matcha Meta. Gli aggressori hanno sfruttato specifiche impostazioni di permesso sui token per drenare circa 16,8 milioni in criptovalute.
Secondo le prime analisi, l’episodio non sarebbe stato causato da una vulnerabilità diretta nell’interfaccia di Matcha Meta. Tuttavia, il modo in cui alcuni utenti hanno gestito le autorizzazioni ai contratti ha aperto un varco critico sfruttato dall’attaccante.
Come è avvenuto l’exploit su SwapNet
Matcha Meta mette a disposizione una funzione di One-Time Approval, che limita l’accesso ai token a una singola transazione. Molti utenti, però, hanno disattivato questa protezione preferendo impostare permessi diretti e duraturi verso singoli contratti di aggregazione.
In questo contesto, gli aggressori hanno potuto sfruttare approvazioni permanenti legate a SwapNet. Una volta ottenuto il permesso, il wallet compromesso consentiva di movimentare fondi senza ulteriori conferme, con i token trasferiti senza che l’utente dovesse firmare nuove transazioni.
Questo schema ha reso particolarmente insidioso l’attacco a SwapNet, poiché le autorizzazioni già concesse agli smart contract hanno funzionato come una porta aperta. Detto ciò, il problema è emerso solo per i wallet che avevano modificato le impostazioni predefinite di sicurezza.
Movimenti on-chain e rete Base nel mirino
I dati on-chain mostrano che l’attaccante si è concentrato in modo significativo sulla rete Base. In particolare, circa 10,5 milioni di dollari in USDC sono stati scambiati per circa 3.655 ETH, secondo le analisi dei flussi.
Poco dopo queste conversioni, i fondi hanno iniziato a essere trasferiti dalla rete Base verso Ethereum, tramite operazioni di bridge. Questa strategia viene spesso utilizzata dagli attaccanti per rendere più complesso il tracciamento dei capitali sottratti e frammentarne la scia.
Ulteriori registrazioni delle transazioni indicano movimenti aggiuntivi di USDC per oltre 13 milioni di dollari e interazioni con la liquidità di Uniswap V3. Nel complesso, PeckShieldAlert stima che l’ammontare complessivo trafugato si aggiri intorno ai 16,8 milioni.
Reazione di Matcha Meta e SwapNet
Matcha Meta ha riconosciuto pubblicamente l’incidente e ha comunicato di essere al lavoro insieme al team di SwapNet per analizzare l’accaduto. Come misura immediata, i contratti di SwapNet sono stati temporaneamente disabilitati per impedire ulteriori abusi.
Inoltre, la piattaforma ha rimosso l’opzione che consentiva agli utenti di impostare permessi diretti verso i contratti degli aggregator. L’obiettivo è ridurre drasticamente il rischio associato alle autorizzazioni permanenti e rendere più difficile replicare uno schema simile in futuro.
In questo quadro, il tema della gestione dei permessi sui token è tornato centrale nel dibattito sulla sicurezza DeFi. Rispetto ad altri incidenti recenti, qui il vettore principale non è stato un bug del codice, ma la combinazione tra design delle autorizzazioni e scelte degli utenti.
Come proteggersi dopo l’attacco a SwapNet
Per limitare l’esposizione residua, Matcha Meta ha invitato gli utenti a revocare tutte le approvazioni esistenti che non rientrano nei contratti di One-Time Approval di 0x. L’avviso è particolarmente mirato alle autorizzazioni collegate al router di SwapNet.
In pratica, gli utenti dovrebbero utilizzare strumenti di gestione delle approvazioni on-chain per verificare e cancellare i permessi concessi in passato, soprattutto quelli relativi ai contratti di routing più esposti. Tuttavia, è consigliabile controllare sistematicamente anche le autorizzazioni su altre reti e protocolli.
Le indagini sono tuttora in corso e i team di Matcha Meta e SwapNet hanno promesso aggiornamenti continui man mano che emergeranno nuovi elementi. Secondo quanto comunicato, l’attività di monitoraggio dei fondi sottratti proseguirà anche nelle prossime settimane.
Implicazioni per la sicurezza DeFi
L’episodio evidenzia ancora una volta la fragilità dei meccanismi di approvazione nel contesto DeFi. In molti casi, gli utenti sono portati a scegliere autorizzazioni permanenti per comodità, senza valutarne il rischio di lungo periodo.
Inoltre, gli sviluppatori di interfacce e aggregator dovranno probabilmente ripensare il modo in cui presentano le opzioni di sicurezza. Funzioni come il One-Time Approval, se mantenute attive di default e spiegate con chiarezza, possono ridurre sensibilmente il perimetro d’attacco.
Nel complesso, il caso SwapNet conferma quanto sia cruciale una corretta gestione delle autorizzazioni ai token, soprattutto in un ecosistema in rapida evoluzione come quello di Base ed Ethereum. Una maggiore consapevolezza degli utenti resta un elemento fondamentale accanto alle misure tecniche.
