Взлом SwapNet: утечка $16,8 млн через уязвимость в смарт-контракте на Base

В воскресенье, 25 января 2026 года, децентрализованный агрегатор ликвидности Matcha Meta сообщил о серьёзной компрометации одного из своих ключевых провайдеров — протокола SwapNet. Злоумышленник воспользовался уязвимостью в смарт-контракте SwapNet и похитил от $13,3 млн до $16,8 млн цифровых активов, в основном конвертировав USDC в Ether и начав вывод средств на основную сеть Ethereum.

🔍 Как произошла атака?

Согласно данным компаний CertiK и PeckShield, эксплуатация была возможна из-за произвольного вызова (arbitrary call) в маршрутизаторе SwapNet. Эта уязвимость позволила злоумышленнику выполнить несанкционированные трансферы любых токенов, ранее одобренных пользователями для обмена через этот контракт.

PeckShield уточнил, что атакующий:

• Обменял ~10,5 млн USDC на ~3 655 ETH в сети Base
• Начал мостинг средств на Ethereum
• Использовал стандартные механизмы DEX, но обошёл проверки безопасности контракта

«Код — это закон. Но если код содержит дыру, то закон становится приглашением к краже», — Ник Сабо, пионер смарт-контрактов.

🛡️ Ответ Matcha Meta

Команда Matcha Meta подчеркнула, что инфраструктура самого агрегатора не была скомпрометирована — уязвимость находилась исключительно в контракте SwapNet, одного из внешних провайдеров ликвидности. Тем не менее, поскольку пользователи взаимодействовали с SwapNet через интерфейс Matcha, последствия затронули всю экосистему.

Официальное заявление содержало срочный призыв:

«Если вы когда-либо давали разрешение (approval) контракту SwapNet, отзовите его немедленно через такие сервисы, как Revoke.cash или Etherscan».

📉 Контекст: рост атак на смарт-контракты в 2025–2026 гг.

По данным годового отчёта SlowMist, уязвимости в смарт-контрактах стали главной причиной хакерских атак в 2025 году — на их долю пришлось 30,5% всех инцидентов (56 случаев). Это опережает даже компрометацию аккаунтов и фишинг (24%).

Инцидент с SwapNet стал уже вторым крупным взломом в январе 2026 года: ранее, 8 января, протокол Truebit потерял $26 млн из-за аналогичной ошибки в логике контракта.

🤖 ИИ и новые угрозы

Интересно, что в декабре 2025 года коммерческие ИИ-агенты (включая GPT-5, Claude Opus 4.5 и Sonnet 4.5) самостоятельно обнаружили уязвимости в существующих протоколах на сумму $4,6 млн. Это означает, что как хакеры, так и защитники всё чаще используют ИИ для поиска слабых мест — но пока атакующие действуют быстрее.

🔐 Что делать пользователям?

Если вы когда-либо использовали SwapNet — даже через сторонний интерфейс — примите следующие меры:

• Проверьте историю транзакций на наличие взаимодействий с адресом SwapNet Router
• Отзовите все разрешения через Revoke.cash или аналоги
• Не используйте неаудированные или малоизвестные протоколы без дополнительной проверки
• Регулярно очищайте список аппрувов — это одна из самых недооценённых практик безопасности в DeFi

🔮 Будущее DeFi: безопасность через минимализм

Инцидент с SwapNet подчёркивает фундаментальную проблему DeFi: чем сложнее композиция протоколов, тем выше риск цепной реакции. Агрегаторы, такие как Matcha Meta, полагаются на десятки внешних маршрутизаторов, и один слабый звено может поставить под угрозу миллионы долларов.

Эксперты прогнозируют сдвиг в сторону:

• Более строгого отбора ликвидности-провайдеров
• Автоматической ревокации неиспользуемых аппрувов
• Интеграции on-chain страхования для агрегаторов

Пока же — главная защита остаётся за пользователем. В мире DeFi доверие должно быть временным, ограниченным и постоянно пересматриваемым.