26 січня неідентифіковані особи здійснили вторгнення в систему провайдера ліквідності SwapNet. Першими про це заявили розробники DEX-агрегатора Matcha Meta.
We are aware of an incident with SwapNet that users may have been exposed to on Matcha Meta for those who turned off One-Time Approvals
We are in contact with the SwapNet team and they have temporarily disabled their contracts
The team is actively investigating and will provide…
— Matcha Meta 🎆 (@matchametaxyz) January 25, 2026
Під загрозою опинилися користувачі Matcha Meta, що деактивували опцію разових підтверджень і самостійно давали дозволи контрактам SwapNet.
Аби звести до мінімуму подібні ризики в майбутньому, розробники вилучили цю можливість.
Експерти PeckShield оцінили збитки в $16,8 млн. Зловмисник обміняв 10,5 млн USDC на 3655 ETH у мережі Base та почав переводити кошти в Ethereum.
#PeckShieldAlert Matcha Meta has reported a security breach involving SwapNet. Users who opted out of “One-Time Approvals” are at risk.
So far, ~$16.8M worth of crypto has been drained.
On #Base, the attacker swapped ~10.5M $USDC for ~3,655 $ETH and has begun bridging funds to… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF
— PeckShieldAlert (@PeckShieldAlert) January 26, 2026
Аналітики CertiK зареєстрували крадіжку $13,3 млн у USDC. Команда постраждалого проєкту поки не висловила свою думку щодо інциденту.
SwapNet — один із головних маршрутизаторів Matcha Meta для отримання найвигідніших цін або доступу до великих пулів ліквідності.
Ончейн-детектив ZachXBT звернув увагу на неквапливу реакцію емітента Circle. За його відомостями, близько 3 млн монет все ще знаходяться на адресі, яку технічно можливо заблокувати. Проте компанія не вжила жодних дій навіть через 10 годин після вторгнення.
History has shown that Circle is a bad actor.
SwapNet contracts were exploited for $13M USDC on Base ~10 hours ago.
3M USDC is still sitting freezable at
0x6cAad74121bF602e71386505A4687f310e0D833eWhy should anyone continue building on $USDC when you never take care of your… pic.twitter.com/fgP3EmS7Qr
— ZachXBT (@zachxbt) January 26, 2026
«Чому будь-хто повинен продовжувати будувати на USDC, якщо ви, як централізований емітент, ніколи не стоїте на захисті інтересів своїх користувачів?» — запитав експерт.
2026 рік розпочався невдало для сфери DeFi. У січні атакам піддалися відразу декілька децентралізованих проєктів:
- Ethereum-протокол верифікації Truebit втратив 8535 ETH ($26,4 млн) внаслідок атаки на смартконтракт;
- блокчейн першого рівня Saga втратив USDC на $7 млн;
- хакери викрали дані 50 000 облікових записів у французької криптокомпанії Waltio та вимагали викуп.
Нагадаємо, у 2025 році обсяг викрадених коштів досяг $3,4 млрд — максимуму з 2022 року. На три випадки, включно з атакою на Bybit на $1,46 млрд, припало 69% усіх втрат.
CEO платформи Web3-безпеки Immunefi Мітчелл Амадор назвав масштабний злам «смертним вироком» для 80% протоколів.