O agregador Matcha enfrenta um novo alerta após um ataque que desviou cerca de US$16,8 milhões em ativos digitais. Segundo a equipe da plataforma, o incidente teve origem no provedor de liquidez integrado SwapNet, e não na infraestrutura principal do agregador.

A comunicação oficial revelou que apenas usuários que desativaram o recurso One-Time Approval ficaram expostos ao risco. Além disso, a equipe reforçou que essas pessoas devem revogar permissões antigas associadas ao contrato do SwapNet para evitar movimentações indevidas.

Exploração no SwapNet e movimentação rápida dos fundos

A PeckShield detectou que o invasor drenou cerca de US$16,8 milhões, incluindo aproximadamente US$10,5 milhões em USDC. Em seguida, os valores foram convertidos em cerca de 3.655 ETH na rede Base antes de iniciar a ponte para a Ethereum. Esse padrão chamou atenção pela rapidez das conversões e pela estratégia usada para dificultar o rastreamento.

A CertiK também identificou transações suspeitas relacionadas ao caso. Uma carteira envolvida escoou por volta de US$13,3 milhões em USDC, convertendo posteriormente em Ether envelopado. Segundo a empresa, a vulnerabilidade no SwapNet estava ligada a chamadas arbitrárias dentro do contrato, possibilitando o uso de permissões previamente aprovadas pelos usuários.

No entanto, a Matcha esclareceu que os contratos AllowanceHolder e Settler da 0x permanecem seguros. Eles sustentam o sistema One-Time Approval, cujo objetivo é limitar autorizações e proteger usuários durante interações com contratos inteligentes. Assim, aqueles que mantiveram o recurso ativado não foram atingidos. Como resposta imediata, a plataforma removeu a opção de aprovações diretas a contratos externos.

Riscos de permissões antigas em contratos DeFi

O caso expôs novamente um problema recorrente nas operações DeFi: permissões antigas de tokens que permanecem ativas por tempo indeterminado. Elas facilitam o uso de contratos inteligentes, mas se tornam pontos vulneráveis quando não são revistas ou quando algum contrato associado é comprometido. O ocorrido com o SwapNet exemplifica esse risco de forma clara.

Relatórios recentes reforçam a preocupação. A SlowMist apontou que, em 2025, mais de 30% dos ataques no setor tiveram origem em falhas de contratos inteligentes. Esse tipo de brecha continuou sendo a principal causa de perdas no mercado. Além disso, pesquisadores alertam que avanços em inteligência artificial aceleram a capacidade de identificar falhas, o que amplia o nível de risco.

Embora dezembro tenha registrado queda de cerca de 60% nas perdas totais, somando por volta de US$76 milhões, os analistas afirmam que a redução não representa melhora estrutural. A maior parte do prejuízo do mês veio de um único golpe de envenenamento de endereços, que desviou cerca de US$50 milhões.

O cenário segue crítico. Em janeiro, o ataque à IPOR Labs causou um prejuízo de aproximadamente US$336 mil. Além disso, mais de 8.500 ETH foram drenados do Truebit, afetando o preço do token. A rede Saga também precisou pausar sua cadeia SagaEVM após um ataque que movimentou quase US$7 milhões para a Ethereum.

O incidente envolvendo a Matcha reforça a urgência de revisar aprovações antigas de tokens. Por conseguinte,  a conversão rápida dos fundos, o uso de ETH e a utilização de pontes cross-chain mostram como permissões negligenciadas podem se transformar em portas abertas para ataques. Portanto, a remoção definitiva das aprovações diretas pela plataforma pretende reduzir riscos semelhantes e incentivar práticas mais seguras entre usuários.