El agregador de intercambio descentralizado Matcha Meta se ha visto envuelto en controversia tras una brecha de seguridad durante la integración de SwapNet. Este incidente salió a la luz cuando se notaron actividades en la cadena de bloques un domingo, lo que llevó a varias firmas de seguridad a ofrecer estimaciones divergentes sobre el alcance de las pérdidas financieras. Los hallazgos iniciales sugirieron que el atacante movió activos de USDC desde la red Base a Ethereum. El equipo del proyecto no ofreció una imagen clara sobre el estado de los fondos de los usuarios.
¿Cómo Se Detectó la Brecha de SwapNet?
El primer informe, basado en análisis en la cadena, fue compartido por PeckShield, revelando que aproximadamente $16.8 millones en activos habían sido drenados ilícitamente. Los datos indicaron que el atacante intercambió $10.5 millones en USDC en la red Base para adquirir alrededor de 3,655 ETH y posteriormente los puenteó a la red Ethereum. El ritmo rápido de estas transacciones insinuó un escenario de explotación automatizado.
Otra firma de seguridad, CertiK, lanzó una evaluación anterior estimando la pérdida en alrededor de $13.3 millones. Según CertiK, la vulnerabilidad surgió de un problema de “llamada arbitraria” dentro del contrato de SwapNet, lo que permitió al atacante transferir fondos autorizados. La discrepancia en las cifras entre los dos informes surgió de transacciones adicionales detectadas durante el proceso de puenteo y diferencias metodológicas.
En su respuesta inicial, Matcha Meta afirmó que las cuentas que utilizaban la función de Aprobación Única no se vieron afectadas, solo aquellas que autorizaban directamente los contratos enfrentaron riesgos. El proyecto limitó el alcance del ataque basado en este marco.
Autorizaciones de Usuarios e Impacto en la Industria
Tras el incidente, Matcha Meta anunció su investigación en colaboración con el equipo de 0x, aclarando que el problema no estaba vinculado a los contratos de AllowanceHolder o Settler de 0x. La declaración enfatizó que dar autorización directa a contratos de agregadores individuales suponía riesgos adicionales para los usuarios. Por lo tanto, se eliminó la opción de autorización directa para prevenir ocurrencias similares.
Aun cuando Matcha Meta aún no ha emitido una nueva actualización de estado, la industria en general está cada vez más preocupada por la creciente ola de ataques. Los datos de Chainalysis mostraron que los robos de criptomonedas superaron los $3.41 mil millones en 2025. Un solo ataque en Bybit, por valor de $1.5 mil millones, representó casi la mitad de las pérdidas anuales.
Los expertos sostienen que el caso de Matcha Meta destaca la necesidad de alinear los mecanismos de permisos diseñados para mejorar la experiencia del usuario con arquitecturas de seguridad robustas. A medida que los puentes intercadena y los contratos de agregadores se vuelven más prevalentes, la superficie de ataque se expande, intensificando las discusiones sobre cómo se transfieren los riesgos a los usuarios finales.
