Matcha Meta warnt nach Hack bei SwapNet: bis zu 16,8 Millionen Dollar erbeutet

Die dezentrale Krypto-Börse (DEX) Matcha Meta hat am Sonntag vor einem Sicherheitsvorfall beim Liquiditätsanbieter SwapNet gewarnt. Aufgrund einer Schwachstelle in einem Smart-Contract von SwapNet könnten Angreifer möglicherweise Gelder von Nutzern bewegen, die zuvor Transaktionen über das Protokoll genehmigt hatten. Matcha Meta betont, dass das Problem nicht in der eigenen Infrastruktur liegt, sondern bei SwapNet.

Nutzer, die zuvor sogenannte Token-Genehmigungen (Token-Approvals) für den Router-Vertrag von SwapNet erteilt haben, werden aufgefordert, diese Genehmigung umgehend zu widerrufen. Laut Matcha Meta kann der Widerruf dieser Genehmigungen weiteren Schaden verhindern.

Was sind Token-Genehmigungen und warum sind sie wichtig?

Bei vielen Krypto-Anwendungen muss ein Nutzer zunächst eine Genehmigung erteilen, bevor ein Smart-Contract Tokens in seinem Namen bewegen darf. Das ist vergleichbar mit einer Lastschrift: Man gibt einem System das Recht, Transaktionen durchzuführen, ohne jeden Schritt erneut bestätigen zu müssen. Enthält ein solcher Smart-Contract eine Schwachstelle, kann diese Genehmigung ausgenutzt werden, um Geld abzuzweigen.

Schätzungen zur Beute variieren zwischen 13,3 und 16,8 Millionen Dollar

Über die genaue Summe besteht noch Ungewissheit. Das Blockchain-Sicherheitsunternehmen CertiK berichtete, dass etwa 13,3 Millionen Dollar gestohlen wurden. PeckShield schätzt den Schaden höher ein und spricht von mindestens 16,8 Millionen Dollar im Base-Netzwerk. PeckShield erklärte zudem, dass der Angreifer etwa 10,5 Millionen USDC in rund 3.655 ETH umgetauscht und anschließend begonnen habe, die Gelder in Richtung Ethereum zu verschieben.

CertiK erklärte, dass die Attacke durch einen sogenannten „arbitrary external call“ (willkürlicher Aufruf) im SwapNet-Contract möglich wurde, wodurch ein Angreifer Zugang zu zuvor genehmigten Geldern erhalten konnte.

Welle von Smart-Contract-Hacks hält an

Der Vorfall bei SwapNet folgt kurz auf einen anderen Exploit im Krypto-Sektor. Vor zwei Wochen führte nämlich eine Schwachstelle im Smart-Contract des Offline-Rechenprotokolls Truebit zu einem Verlust von angeblich 26 Millionen Dollar. Auch der Truebit-Token (TRU) ist im Anschluss daran stark im Wert gefallen.

Schwachstellen in Smart-Contracts gelten laut Sicherheitsunternehmen als eine der Hauptursachen für Kryptoverluste. Im Jahresbericht von SlowMist wird angegeben, dass im Jahr 2025 Sicherheitslücken in Smart-Contracts für 30,5 Prozent aller Krypto-Angriffe verantwortlich waren, was 56 Vorfällen entspricht. An zweiter Stelle stehen kompromittierte Wallets und gehackte X-Konten mit 24 Prozent.

KI verändert das Spiel für Angreifer und Forscher

Sicherheitsforscher weisen darauf hin, dass künstliche Intelligenz immer häufiger genutzt wird, um schneller Schwachstellen im Code zu finden. Im Dezember sollen kommerziell verfügbare generative KI-Agenten Schwachstellen aufgespürt haben, die insgesamt für einen Schaden von 4,6 Millionen Dollar durch mögliche Smart-Contract-Exploits bei bestehenden Protokollen verantwortlich waren.

Was können Nutzer jetzt tun?

Matcha Meta rät Nutzern, die jemals Token-Genehmigungen an SwapNet erteilt haben, diese so schnell wie möglich zu widerrufen. Denn solange die Genehmigung erteilt bleibt, besteht das Risiko, dass Vermögenswerte verschoben werden können.