Matcha Meta colpita da un hack al smart contract di SwapNet per 16,8 milioni di dollari

Il aggregatore di exchange decentralizzati Matcha Meta ha subito un attacco informatico attraverso uno dei suoi principali fornitori di liquidità, SwapNet, in un episodio riconducibile allo sfruttamento di vulnerabilità nei smart contract.

La piattaforma ha avvertito che gli utenti che avevano disabilitato le approvazioni una tantum per i token potrebbero essere esposti al rischio e ha esortato a revocare immediatamente tutte le autorizzazioni concesse al contratto router di SwapNet per prevenire ulteriori sottrazioni.

Dettagli dell’attacco

Le stime sulle perdite divergono: la società di sicurezza blockchain CertiK ha indicato circa 13,3 milioni di dollari sottratti, mentre PeckShield parla di almeno 16,8 milioni di dollari prelevati sulla rete Base.

PeckShield ha scritto:

“Finora sono stati drenati circa 16,8 milioni di dollari. Su Base l’attaccante ha scambiato circa 10,5 milioni di USDC per ~3.655 ETH e ha iniziato a trasferire i fondi verso Ethereum.”

CertiK ha individuato la falla tecnica e ha spiegato:

“Un ‘arbitrary call’ nel contratto 0xswapnet ha permesso all’attaccante di trasferire fondi per i quali era stata concessa l’autorizzazione.”

Matcha Meta ha precisato che la compromissione deriva da una esposizione legata a SwapNet e non alla propria infrastruttura diretta, invitando comunque gli utenti a controllare e revocare le approvazioni eventualmente attive.

Conseguenze immediate e raccomandazioni

La dinamica descritta — swap significativo su Base e successivo bridging verso Ethereum — indica una tecnica usata spesso per riciclare fondi: convertire asset stabili in criptovalute native e spostarli su catene diverse per complicare il tracciamento.

Per minimizzare il rischio gli esperti di sicurezza raccomandano di revocare tutte le approvazioni non indispensabili, usare wallet con funzioni di controllo delle autorizzazioni e preferire approvazioni a importi limitati o one-time quando possibile. È inoltre consigliato monitorare le comunicazioni ufficiali dei protocolli coinvolti per eventuali azioni di rimborso o misure correttive.

Contesto e precedenti recenti

L’incidente arriva a poche settimane da un altro sfruttamento di smart contract che ha portato a perdite valutate in circa 26 milioni di dollari ai danni del protocollo di calcolo off-chain Truebit, provocando anche un crollo del 99% del valore del token TRU.

Le vulnerabilità nei smart contract costituiscono ormai la principale causa di furti nel settore cripto: secondo il rapporto annuale di SlowMist, le falle nei contratti intelligenti hanno rappresentato il 30,5% di tutti gli exploit registrati nel 2025, con 56 incidenti correlati.

Al secondo posto si collocano le compromissioni di account e gli account social compromessi, che hanno pesato per il 24% degli eventi di sicurezza nello stesso periodo.

In parallelo, l’evoluzione degli strumenti di intelligenza artificiale sta ridefinendo sia la ricerca delle vulnerabilità sia le capacità degli attaccanti: agenti generativi commerciali hanno consentito, a dicembre, di identificare vulnerabilità che hanno comportato scoperte per un valore stimato in circa 4,6 milioni di dollari, utilizzando modelli come quelli di Anthropic (Claude Opus 4.5 e Claude Sonnet 4.5) e OpenAI (GPT-5).

Implicazioni per la sicurezza dei protocolli

Il ripetersi di eventi analoghi evidenzia la necessità di misure preventive più robuste: audit indipendenti e continui, implementazione di multi-sig per i wallet di governance, timelock per le modifiche critiche ai contratti, fondi di assicurazione e programmi di bug bounty attivi e ben incentivati.

Anche l’educazione degli utenti è cruciale: comprendere come funzionano le approvazioni dei token, limitare le autorizzazioni, utilizzare wallet hardware e verificare sempre i contratti con cui si interagisce sono pratiche che riducono significativamente l’esposizione al rischio.

Gli operatori di protocollo devono inoltre migliorare la tracciabilità e la cooperazione con i servizi di monitoraggio blockchain per rallentare o bloccare i movimenti sospetti e aumentare le possibilità di recupero dei fondi.

Per gli utenti coinvolti dall’episodio si raccomanda di revocare immediatamente qualsiasi approvazione concessa a SwapNet o ad indirizzi sospetti, trasferire i risparmi su wallet sicuri e seguire gli aggiornamenti ufficiali dei progetti interessati per eventuali procedure di rimborso o interventi correttivi.