Matcha Meta waarschuwt na hack bij SwapNet: tot 16,8 miljoen dollar buitgemaakt

De gedecentraliseerde crypto-beurs (DEX) Matcha Meta heeft zondag gewaarschuwd voor een beveiligingsincident bij liquiditeitsverschaffer SwapNet. Door een kwetsbaarheid in een smart contract van SwapNet konden aanvallers mogelijk tegoeden verplaatsen van gebruikers die eerder toestemming hadden gegeven voor transacties via het protocol. Matcha Meta zegt dat het probleem niet in de eigen infrastructuur zit, maar bij SwapNet.

Gebruikers die eerder zogeheten tokengoedkeuringen (token approvals) hebben verleend aan het routercontract van SwapNet worden opgeroepen die toestemming direct in te trekken. Volgens Matcha Meta kan het intrekken van deze goedkeuringen verdere schade voorkomen.

Wat zijn token approvals en waarom zijn ze belangrijk?

Bij veel crypto-apps moet een gebruiker eerst toestemming geven voordat een smart contract tokens namens hem of haar mag verplaatsen. Dat is vergelijkbaar met een automatische incasso: je geeft een systeem het recht om transacties uit te voeren zonder dat je elke stap opnieuw hoeft te bevestigen. Als zo’n contract vervolgens een kwetsbaarheid bevat, kan die eerdere toestemming misbruikt worden om geld weg te sluizen.

Schattingen buit lopen uiteen: 13,3 tot 16,8 miljoen dollar

Over het exacte bedrag bestaat nog onduidelijkheid. Blockchainbeveiligingsbedrijf CertiK meldde dat er ongeveer 13,3 miljoen dollar is gestolen. PeckShield schat de schade hoger en spreekt van minstens 16,8 miljoen dollar op het Base-netwerk. PeckShield stelde bovendien dat de aanvaller circa 10,5 miljoen USDC heeft omgewisseld voor ongeveer 3.655 ETH en daarna begon met het verplaatsen van fondsen richting Ethereum.

CertiK verklaarde dat de aanval mogelijk werd door een zogeheten ‘willekeurige aanroep’ in het SwapNet-contract, waardoor een aanvaller toegang kon krijgen tot eerder goedgekeurde fondsen.

Golf aan smart contract-hacks houdt aan

Het incident bij SwapNet volgt kort op een andere grote exploit in de cryptosector. Twee weken geleden leidde een smart contract-kwetsbaarheid bij het offline rekenprotocol Truebit tot een verlies van naar verluidt 26 miljoen dollar. Ook zou de Truebit-token (TRU) daarna sterk zijn gedaald.

Kwetsbaarheden in smart contracts zijn volgens beveiligingsbedrijven een van de grootste oorzaken van cryptoverliezen. In het jaaroverzicht van SlowMist staat dat smart contract-problemen in 2025 verantwoordelijk waren voor 30,5 procent van alle crypto-aanvallen, goed voor 56 incidenten. Op de tweede plek staan accountcompromissen en gehackte X-accounts met 24 procent.

AI verandert het spel voor aanvallers en onderzoekers

Beveiligingsonderzoekers wijzen erop dat kunstmatige intelligentie steeds vaker wordt gebruikt om zwakke plekken in code sneller te vinden. In december zouden commercieel beschikbare generatieve AI-agents kwetsbaarheden hebben opgespoord die in totaal goed waren voor 4,6 miljoen dollar aan mogelijke smart contract-exploits bij bestaande protocollen.

Wat kunnen gebruikers nu doen?

Matcha Meta adviseert gebruikers die ooit tokengoedkeuringen aan SwapNet hebben gegeven om die goedkeuringen zo snel mogelijk in te trekken. In dit soort gevallen kan het risico blijven bestaan zolang de toestemming actief is.