Se ha identificado una masiva explotación de contrato inteligente en el agregador de DEX en cadena SwapNet, que resultó en el drenaje de activos cripto por un valor cercano a los $16.8 millones.
Peck Shield, una compañía de seguridad, reportó primero el ataque, notando la acción sospechosa en las integraciones de SwapNet de la plataforma, las cuales pueden encontrarse a través de Matcha Meta, una plataforma meta-agregadora de DEX diseñada por el equipo de 0x. En la red Base, el hacker intercambió $10.5 millones en tokens USDC por aproximadamente 3,655 Ether. El atacante luego puenteó los fondos a la red Ethereum, lo que puede ser complicado de rastrear.
Matcha Meta explicó, sin embargo, que el error ni siquiera se originó en su pila principal. El problema para los usuarios comenzó cuando desactivaron la propia característica de 0x, llamada "Aprobación de Un Solo Uso", la cual está diseñada para restringir los permisos de los tokens. Al desactivar esto, los usuarios inadvertidamente permitieron aprobaciones directamente, en lugar de restringirlas, incluso para contratos agregadores subyacentes como el router de SwapNet, que fue utilizado por este atacante.
Matcha Meta reconoció esto públicamente y declaró que había colaborado con el equipo de SwapNet. SwapNet había pausado los contratos inteligentes para contener el daño e identificar la ruta de la explotación para su investigación.
Configuraciones de aprobación bajo escrutinio
La plataforma instó a los usuarios a revocar inmediatamente las aprobaciones concedidas fuera del marco de Aprobación de Un Solo Uso. Destacó el contrato del router de SwapNet como un objetivo prioritario para la revocación. Sin intervención, las carteras habrían permanecido expuestas incluso después de que la explotación se detuviera.
Esta situación resalta una importante compensación inherente en las aplicaciones DeFi. Con las Aprobaciones de Un Solo Uso, cada transacción debe ser autorizada por separado. Esto, por supuesto, ayuda con permisos reducidos pero también introduce fricción. Por el contrario, las aprobaciones ilimitadas facilitan el trading fluido pero otorgan a los contratos acceso persistente a los fondos. Cuando los atacantes comprometen un contrato, esos permisos permanentes se convierten en un riesgo directo.
SwapNet aún no ha publicado un post-mortem técnico detallado. El equipo tampoco ha confirmado si compensará a los usuarios afectados. Esa falta de claridad añade presión sobre las plataformas agregadoras para mejorar la transparencia y endurecer los estándares de integración.
Patrón más amplio de riesgos de contratos inteligentes
La explotación de SwapNet no ha ocurrido en el vacío. De hecho, el mismo día, Pashov, un auditor de seguridad, detectó una explotación diferente en Ethereum, donde se robaron alrededor de 37 WBTC, valorados en más de $3.1 millones. La explotación apuntó a un código de código cerrado y no verificado desplegado solo semanas antes. De hecho, este código solo expuso el bytecode, y fue difícil evaluarlo fácilmente.
Todos estos ataques crean una sensación de un panorama de amenazas topológico en los protocolos DeFi, específicamente alrededor de códigos no verificados, aprobaciones continuas de tokens y capas de enrutamiento complejas que conectan varios protocolos. Claramente, a pesar de auditorías mejoradas y mejores herramientas, los actores de amenazas continúan aprovechando la optimización de diseño y los puntos ciegos de integración.
A medida que DeFi se vuelve más interconectado, los desarrolladores deben fortalecer los sistemas de aprobación y reducir las suposiciones de confianza ocultas. Mientras tanto, los usuarios deben gestionar activamente los permisos y comprender las implicaciones de seguridad de las funciones de conveniencia. La explotación de SwapNet muestra que pequeñas elecciones de configuración pueden tener consecuencias de millones de dólares.
Noticias Cripto Destacadas:
Japón Apunta a la Primera Aprobación de ETFs Cripto para 2028
