Matcha Meta confirma el hackeo tras una pérdida de 16,8 millones de dólares

La plataforma de agregación de intercambio y puente construida por 0x, Matcha Meta, perdió $ 16,8 millones en activos digitales debido a una violación de seguridad de SwapNet, según la plataforma de seguridad Web3 PeckShield.

Matcha Meta reveló el lunes que sufrió una vulnerabilidad de seguridad durante el fin de semana, donde atacantes robaron tokens de un agregador externo integrado en la interfaz de Matcha Meta, llamado SwapNet. La plataforma indicó que los usuarios que desactivaron su función de "Aprobaciones Únicas" y otorgaron permisos directos de tokens a agregadores individuales corrían el riesgo de perder sus fondos.

Estamos al tanto de undent con SwapNet al que los usuarios pueden haber estado expuestos en Matcha Meta para aquellos que desactivaron las Aprobaciones únicas

Estamos en contacto con el equipo de SwapNet y han desactivado temporalmente sustrac

El equipo está investigando activamente y proporcionará…

— Matcha Meta 🎆 (@matchametaxyz) 25 de enero de 2026

En el comunicado del agregador de intercambios sobre X, MM afirmó haber detectado actividad sospechosa tras la aparición en los registros transaccionales de grandes movimientos no autorizados de tokens desde eltracdel enrutador de SwapNet. La plataforma confirmó que se había puesto en contacto con el equipo de SwapNet, que desactivó temporalmente sustracpara evitar más pérdidas. 

Un hacker de Matcha Meta intercambió 3.000 monedas Ether de sus víctimas

Según la firma de seguridad blockchain PeckShield , el atacante drenó fondos mediante aprobaciones e intercambios de tokens. Transferieron aproximadamente 10,5 millones de USDC de las direcciones de las víctimas en Base, una blockchain de capa 2 de Ether, y luego intercambiaron las monedas estables por 3655 Ether, consolidando así su valor en un activo más líquido.

Tras completar los intercambios, el atacante comenzó a conectar el Ether desde Base a la red principal Ethereum para ocultar cualquier rastro de transacciones. El enlace es el proceso de transferir activos entre cadenas de bloques mediantetracinteligentes o protocolos intermediarios. Aunque se considera "legítimo" en la mayoría de los casos, los hackers lo utilizan porque hace casi imposible tracsus operaciones.

El perpetrador había otorgado previamente permisos de tokens para transferir fondos sin la firma del usuario, lo que autoriza a un trac inteligente a gastar sus tokens. Si un permiso es ilimitado, un contrato malicioso o comprometido trac drenar los fondos hasta agotar el saldo.

Matcha Meta afirmó que los usuarios que interactuaron con la plataforma mediante su sistema de Aprobación Única no se vieron afectados. Esta función enruta los permisos de tokens a través de lostracAllowanceHolder y Settler de 0x, lo que limita la exposición del operador al otorgar aprobaciones para una sola transacción. 

“Tras consultar con el equipo de protocolo de 0x, hemos confirmado que la naturaleza deldent no estaba relacionada contracde AllowanceHolder o Settler de 0x”, escribió Matcha Meta en X posteriormente. La compañía añadió que los usuarios que desactivaron las Aprobaciones Únicas y establecieron permisos directos en lostracde agregadores “asumen los riesgos de cada agregador”

Después de revisarlo con el equipo de protocolo de 0x, hemos confirmado que la naturaleza deldent no estaba asociada contracAllowanceHolder o Settler de 0x.

De esta forma, los usuarios que hayan interactuado con Matcha Meta a través de Aprobación Única están seguros.

Usuarios que han desactivado el Pago Único… https://t.co/VQVmj4LL0F

— Matcha Meta 🎆 (@matchametaxyz) 25 de enero de 2026

La plataforma de intercambio DEX eliminó la función para que los usuarios establecieran asignaciones directas a los agregadores a través de su interfaz, al tiempo que solicitó a la comunidad que revocara cualquier permiso existente en eltracde enrutador de SwapNet. 

Los hackeos atracinteligentes DeFi persisten en 2026

Eldent de Matcha Meta se produce apenas seis días después de que Makina Finance, un protocolo financiero descentralizado con funciones de ejecución automatizada, sufriera una violación de la red que agotó su fondo de liquidez DUSD/USDC en Curve.

Según informó Cryptopolitan, los hackers trac aproximadamente 1299 Ether del pool de stablecoins Curve de Makina, con un valor de 4,13 millones de dólares en ese momento. La filtración afectó a proveedores de liquidez sin custodia conectados a un oráculo de precios en cadena, una fuente de datos utilizada por los contratos inteligentes trac determinar el valor de los activos.

Según la firma de análisis de blockchain Elliptic, gran parte del lavado de dinero en la red oscura actual involucra servicios de intercambio de monedas, incluidos intercambios instantáneos que se ejecutan a través de sitios web independientes o canales de Telegram.

El año pasado, el agregador de intercambio descentralizado CoWSwap reportó una brecha que resultó en pérdidas de más de $180,000. Aproximadamente $180,000 en DAI fueron robados a través deltracinteligente de ejecución de operaciones GPv2Settlement de CoWSwap.

La plataforma afirmó que eltraccomprometido solo tenía acceso a las comisiones de protocolo cobradas durante una semana, derivadas de la explotación de una cuenta de solver. En el modelo de CoWSwap, los usuarios firman intenciones de intercambio que se transmiten a solucionadores externos, que compiten por ofrecer los mejores precios y almacenar las comisiones cobradas.

Las mentes más brillantes del mundo de las criptomonedas ya leen nuestro boletín. ¿Te apuntas? ¡ Únete !