Ein On-Chain-DEX-Aggregator verliert 17 Mio. USD durch schweren Smart-Contract-Hack

Der On-Chain DEX-Aggregator SwapNet hat durch einen großen Smart-Contract-Hack fast 16,8 Mio. USD an Krypto-Vermögen verloren.

Dieses Ereignis zeigt erneut die bestehenden Sicherheitsgefahren bei Token-Genehmigungen und bei Drittanbieter-Routing-Verträgen in der dezentralen Finanzwelt (DeFi).

Schadensfall: On-Chain-DEX-Aggregator SwapNet um 16,8 Mio. USD gehackt

Die Sicherheitsfirma PeckShield berichtete, dass der Angreifer Aktivitäten nutzte, die mit SwapNet zusammenhängen und über Matcha Meta erreichbar waren. Matcha Meta ist ein Meta-DEX-Aggregator von dem 0x-Team.

Auf der Base-Chain tauschte der Angreifer etwa 10,5 Mio. USD in USDC gegen rund 3.655 ETH. Danach überbrückte er das Geld zu Ethereum, um die Verfolgung und Rückholung zu erschweren, wie es oft bei solchen Angriffen passiert.

Matcha Meta erklärte, dass das Problem nicht aus der eigenen Kern-Infrastruktur stammt. Betroffen waren nur Nutzer, die 0x’s One-Time Approval-System nicht genutzt haben. Diese Sicherheitsfunktion hilft, dauerhafte Token-Berechtigungen einzuschränken.

Nutzer, die diese Option deaktiviert haben, gaben direkte Genehmigungen an Aggregator-Verträge wie den Router von SwapNet. Diese Genehmigungen bildeten später die Angriffsstelle.

„Wir wissen von einem Vorfall bei SwapNet, mit dem Nutzer auf Matcha Meta in Kontakt gekommen sein könnten, wenn sie One-Time Approvals ausgeschaltet haben“, sagte Matcha Meta in einer Stellungnahme.

Die Plattform bestätigte, dass sie zusammen mit dem SwapNet-Team an der Lösung arbeitet. Die betroffenen Verträge wurden vorübergehend deaktiviert, solange die Untersuchung läuft.

Matcha Meta rät als Vorsichtsmaßnahme allen, die ihre Genehmigungen für einzelne Aggregatoren außerhalb des One-Time Approval-Systems vergeben haben, diese sofort zu widerrufen.

Besonders wichtig ist laut Plattform der Widerruf der Genehmigung für den SwapNet-Router-Vertrag (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e). Wer das nicht tut, kann seine Wallet auch nach dem Angriff noch gefährden.

DeFi-Sicherheit: Komfort oder Schutz? Immer mehr Smart-Contract-Hacks enthüllt

Der Vorfall zeigt ein altes Problem in DeFi: die Balance zwischen Sicherheit und Komfort. Mit One-Time Approvals müssen Nutzer jede Transaktion einzeln bestätigen. Dadurch sinkt die Angriffsfläche deutlich. Allerdings ist das vor allem für Vielhändler umständlich.

Unbegrenzte Genehmigungen machen alles schneller, aber sie geben smarten Verträgen langfristigen Zugriff auf Guthaben. Zudem wird dies gefährlich, wenn solche Verträge angegriffen werden.

SwapNet hat bisher keinen vollständigen technischen Bericht veröffentlicht und nicht gesagt, ob betroffene Nutzer entschädigt werden. Deshalb gibt es weiter Fragen zu Verantwortlichkeit und möglicher Rückzahlung.

Die Unklarheit könnte dazu führen, dass auch andere DEXes im DeFi-Bereich ihre Genehmigungs-Praktiken und Aggregator-Integrationen kritisch prüfen.

Neuer Ethereum-Hack zeigt Risiken von nicht geprüften, geschlossenen Smart Contracts

Der Angriff folgt auf viele ähnliche Smart-Contract-Angriffe und Sicherheitsprobleme im Krypto-Markt.

Am gleichen Tag entdeckte der Prüfer Pashov einen weiteren Angriff im Ethereum-Mainnet. Dieser betraf rund 37 WBTC, im Wert von mehr als 3,1 Mio. USD.

Hierfür wurde ein geschlossener, nicht überprüfter Vertrag missbraucht, der erst vor 41 Tagen erstellt wurde. Der Vertrag enthielt nur maschinenlesbaren Bytecode und ließ damit keine öffentliche Kontrolle zu.

Diese Vorfälle zeigen, wie viele Angriffsflächen es in DeFi gibt. Dazu zählen:

• Nicht überprüfter Code
• Dauerhafte Genehmigungen und
• Komplexe Routing-Strukturen.

Trotz vieler Prüfungen und Fortschritte bei der Sicherheit kämpft DeFi weiter mit grundlegenden Schwächen. So müssen Entwickler und Nutzer immer abwägen: Benutzerfreundlichkeit gegen Risiko-Management.