De gedecentraliseerde crypto-beurs (DEX) Matcha Meta heeft zondag gewaarschuwd voor een beveiligingsincident bij liquiditeitsverschaffer SwapNet. Door een kwetsbaarheid in een smart contract van SwapNet konden aanvallers mogelijk tegoeden verplaatsen van gebruikers die eerder toestemming hadden gegeven voor transacties via het protocol. Matcha Meta zegt dat het probleem niet in de eigen infrastructuur zit, maar bij SwapNet.
Gebruikers die eerder zogeheten tokengoedkeuringen (token approvals) hebben verleend aan het routercontract van SwapNet worden opgeroepen die toestemming direct in te trekken. Volgens Matcha Meta kan het intrekken van deze goedkeuringen verdere schade voorkomen.
Bij veel crypto-apps moet een gebruiker eerst toestemming geven voordat een smart contract tokens namens hem of haar mag verplaatsen. Dat is vergelijkbaar met een automatische incasso: je geeft een systeem het recht om transacties uit te voeren zonder dat je elke stap opnieuw hoeft te bevestigen. Als zo’n contract vervolgens een kwetsbaarheid bevat, kan die eerdere toestemming misbruikt worden om geld weg te sluizen.
Over het exacte bedrag bestaat nog onduidelijkheid. Blockchainbeveiligingsbedrijf CertiK meldde dat er ongeveer 13,3 miljoen dollar is gestolen. PeckShield schat de schade hoger en spreekt van minstens 16,8 miljoen dollar op het Base-netwerk. PeckShield stelde bovendien dat de aanvaller circa 10,5 miljoen USDC heeft omgewisseld voor ongeveer 3.655 ETH en daarna begon met het verplaatsen van fondsen richting Ethereum.
CertiK verklaarde dat de aanval mogelijk werd door een zogeheten ‘willekeurige aanroep’ in het SwapNet-contract, waardoor een aanvaller toegang kon krijgen tot eerder goedgekeurde fondsen.
Het incident bij SwapNet volgt kort op een andere grote exploit in de cryptosector. Twee weken geleden leidde een smart contract-kwetsbaarheid bij het offline rekenprotocol Truebit tot een verlies van naar verluidt 26 miljoen dollar. Ook zou de Truebit-token (TRU) daarna sterk zijn gedaald.
Kwetsbaarheden in smart contracts zijn volgens beveiligingsbedrijven een van de grootste oorzaken van cryptoverliezen. In het jaaroverzicht van SlowMist staat dat smart contract-problemen in 2025 verantwoordelijk waren voor 30,5 procent van alle crypto-aanvallen, goed voor 56 incidenten. Op de tweede plek staan accountcompromissen en gehackte X-accounts met 24 procent.
Beveiligingsonderzoekers wijzen erop dat kunstmatige intelligentie steeds vaker wordt gebruikt om zwakke plekken in code sneller te vinden. In december zouden commercieel beschikbare generatieve AI-agents kwetsbaarheden hebben opgespoord die in totaal goed waren voor 4,6 miljoen dollar aan mogelijke smart contract-exploits bij bestaande protocollen.
Matcha Meta adviseert gebruikers die ooit tokengoedkeuringen aan SwapNet hebben gegeven om die goedkeuringen zo snel mogelijk in te trekken. In dit soort gevallen kan het risico blijven bestaan zolang de toestemming actief is.
De afgelopen dagen verschenen er online berichten waarin werd gesproken over een mogelijke datalek bij CoinMarketCap.
DeFi-platformen worden gedwongen hun beveiliging opnieuw op te bouwen, terwijl JPMorgan AI-aanvallen al als systeemrisico bestempelt.
De malware, genaamd “Mach-O Man”, werd deze week geïdentificeerd door cybersecurity-experts.
Hormuz is negen weken dicht en een miljard vaten olie zijn al weg. Handelaren waarschuwen voor rantsoenering, dieseltekort en wereldwijde recessie.
De scheepvaart door Hormuz is opnieuw tot stilstand gekomen nadat de VS voor het eerst een Iraans schip in beslag namen. De olieprijs stijgt.
Vijf AI-modellen voorspellen dat de Bitcoin koers op 1 mei rond 81.000 dollar noteert. Het Iran-conflict kan de voorspelling echter verstoren.
