Merkeziyetsiz borsa toplayıcısı (DEX aggregator) Matcha Meta, SwapNet entegrasyonunda bir güvenlik açığı yaşadı. Blockchain güvenlik firması PeckShield‘e göre yaklaşık 16,8 milyon dolar değerinde varlık çalındı. Zincir üstü verilere göre saldırgan Base ağında yaklaşık 10,5 milyon dolar USDC‘yi 3,655 ETH‘ye swap etti ve fonları Ethereum‘a köprülemeye başladı. Bir diğer güvenlik firması CertiK ise daha düşük bir zarar tahmini yaptı ve Base üzerinde yaklaşık 13,3 milyon dolar USDC kaybı olduğunu bildirdi.
CertiK muhtemel istismarın SwapNet kontratındaki “arbitrary call” (rastgele çağrı) zafiyeti olduğunu belirledi. Bu zafiyet saldırganın kontrata onaylanmış fonları transfer etmesine izin verdi. Matcha Meta kullanıcı fonlarının kaybolup kaybolmadığına dair net bir açıklama yapmadı. Ancak ilk güncellemede yalnızca One-Time Approval (tek seferlik onay) özelliğini devre dışı bırakarak bireysel aggregator kontratlarına doğrudan izin veren kullanıcıların maruziyet taşıdığını belirtti. One-Time Approval özelliğini kullanan kullanıcıların etkilenmediği ifade edildi.
Matcha Meta 0x‘in protokol ekibiyle olayı inceledikten sonra sorunun 0x’in AllowanceHolder veya Settler kontratlarıyla ilgili olmadığını doğruladı. Platform bir açıklamada “kullanıcıların aggregator’lara doğrudan izin verme özelliğini kaldırdık böylece bundan sonra bu gerçekleşemez” dedi. SwapNet kontratları geçici olarak devre dışı bırakıldı ve Matcha Meta’da doğrudan aggregator izinleri kaldırıldı.
Blockchain analiz firması Chainalysis’e göre, 2025 yılında kripto hırsızlıklarının toplamı 3,41 milyar dolara ulaştı. Bu rakam bir önceki yıl kaydedilen 3,38 milyar doların üzerine çıktı. Bybit’te yaşanan 1,5 milyar dolarlık tekil hack yıllık toplam kayıpların %44’ünü oluştururken Kuzey Kore bağlantılı aktörler yıl boyunca 2,02 milyar dolar çalarak en yüksek zarara yol açan tehdit grubu oldu.