forklog.com
26 января неизвестные атаковали поставщика ликвидности SwapNet. Первыми на это указали разработчики DEX-агрегатора Matcha Meta.
We are aware of an incident with SwapNet that users may have been exposed to on Matcha Meta for those who turned off One-Time Approvals
— Matcha Meta 🎆 (@matchametaxyz) January 25, 2026
We are in contact with the SwapNet team and they have temporarily disabled their contracts
The team is actively investigating and will provide…
Под угрозой оказались отключившие функцию однократного подтверждения пользователи Matcha Meta, которые вручную выдавали разрешения контрактам SwapNet.
Чтобы исключить подобные риски в будущем, разработчики удалили эту функцию.
Специалисты PeckShield оценили ущерб в $16,8 млн. Злоумышленник конвертировал 10,5 млн USDC в 3655 ETH в сети Base и начал вывод средств в Ethereum.
#PeckShieldAlert Matcha Meta has reported a security breach involving SwapNet. Users who opted out of "One-Time Approvals" are at risk.
— PeckShieldAlert (@PeckShieldAlert) January 26, 2026
So far, ~$16.8M worth of crypto has been drained.
On #Base, the attacker swapped ~10.5M $USDC for ~3,655 $ETH and has begun bridging funds to… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF
Аналитики CertiK зафиксировали кражу $13,3 млн в USDC. Команда пострадавшего проекта пока не прокомментировала инцидент.
SwapNet — один из ведущих маршрутизаторов Matcha Meta для получения наиболее выгодных котировок или доступа к глубоким пулам ликвидности.
Ончейн-детектив ZachXBT обратил внимание на медленную реакцию эмитента Circle. По его данным, около 3 млн монет остаются на адресе, который технически можно заблокировать. Однако компания не предприняла никаких мер даже спустя 10 часов после взлома.
History has shown that Circle is a bad actor.
— ZachXBT (@zachxbt) January 26, 2026
SwapNet contracts were exploited for $13M USDC on Base ~10 hours ago.
3M USDC is still sitting freezable at
0x6cAad74121bF602e71386505A4687f310e0D833e
Why should anyone continue building on $USDC when you never take care of your… pic.twitter.com/fgP3EmS7Qr
«Зачем кому-либо продолжать строить на USDC, когда вы, как централизованный эмитент, никогда не защищаете интересы своих пользователей?» — поинтересовался эксперт.
2026 год начался неудачно для сектора DeFi. В январе взломам подверглись сразу несколько децентрализованных проектов:
- Ethereum-протокол верификации Truebit лишился 8535 ETH ($26,4 млн) в результате атаки на смарт-контракт;
- блокчейн первого уровня Saga потерял USDC на $7 млн;
- хакеры украли данные 50 000 аккаунтов у французской криптокомпании Waltio и потребовали выкуп.
Напомним, в 2025 году объем украденных средств достиг $3,4 млрд — максимума с 2022 года. На три инцидента, включая взлом Bybit на $1,46 млрд, пришлось 69% всех потерь.
CEO платформы Web3-безопасности Immunefi Митчелл Амадор назвал крупный взлом «смертным приговором» для 80% протоколов.
Зрелость под вопросом: парадоксальные итоги 2025 года для DeFi