26 січня невідомі особи здійснили атаку на постачальника ліквідності SwapNet. Першими на цей факт вказали творці DEX-агрегатора Matcha Meta.
We are aware of an incident with SwapNet that users may have been exposed to on Matcha Meta for those who turned off One-Time Approvals
We are in contact with the SwapNet team and they have temporarily disabled their contracts
The team is actively investigating and will provide…
— Matcha Meta 🎆 (@matchametaxyz) January 25, 2026
Під загрозою опинилися користувачі Matcha Meta, котрі деактивували опцію разових схвалень та вручну давали дозволи контрактам SwapNet.
З метою мінімізації подібних небезпек в майбутньому, розробники видалили дану функцію.
Експерти PeckShield оцінили збитки у $16,8 млн. Зловмисник обміняв 10,5 млн USDC на 3655 ETH у мережі Base та почав переміщати активи в Ethereum.
#PeckShieldAlert Matcha Meta has reported a security breach involving SwapNet. Users who opted out of “One-Time Approvals” are at risk.
So far, ~$16.8M worth of crypto has been drained.
On #Base, the attacker swapped ~10.5M $USDC for ~3,655 $ETH and has begun bridging funds to… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF
— PeckShieldAlert (@PeckShieldAlert) January 26, 2026
Аналітики CertiK зафіксували викрадення $13,3 млн у USDC. Команда постраждалого проєкту поки не надала коментарі щодо інциденту.
SwapNet — один з провідних маршрутизаторів Matcha Meta для отримання найбільш вигідних курсів або доступу до великих пулів ліквідності.
Ончейн-детектив ZachXBT привернув увагу до неквапливої реакції емітента Circle. За його відомостями, приблизно 3 млн монет знаходяться на адресі, яку технічно можна заморозити. Однак фірма не зробила жодних кроків навіть через 10 годин після атаки.
History has shown that Circle is a bad actor.
SwapNet contracts were exploited for $13M USDC on Base ~10 hours ago.
3M USDC is still sitting freezable at
0x6cAad74121bF602e71386505A4687f310e0D833eWhy should anyone continue building on $USDC when you never take care of your… pic.twitter.com/fgP3EmS7Qr
— ZachXBT (@zachxbt) January 26, 2026
«Навіщо комусь продовжувати будувати на USDC, якщо ви, як централізований емітент, ніколи не захищаєте інтереси власних користувачів?» — запитав експерт.
2026 рік розпочався невдало для сфери DeFi. У січні зломам піддалися одразу декілька децентралізованих проєктів:
- Ethereum-протокол верифікації Truebit втратив 8535 ETH ($26,4 млн) в результаті атаки на смартконтракт;
- блокчейн першого рівня Saga втратив USDC на $7 млн;
- хакери вкрали дані 50 000 акаунтів у французької криптокомпанії Waltio та вимагали викуп.
Нагадаємо, у 2025 році сума викрадених коштів досягла $3,4 млрд — найвищого значення з 2022 року. На три інциденти, включаючи злом Bybit на $1,46 млрд, припало 69% всіх втрат.
CEO платформи Web3-безпеки Immunefi Мітчелл Амадор назвав масштабний злам «смертним вироком» для 80% протоколів.