A Circle csak hallgat, miközben hackerek szabadon mozgatják a lopott USDC stabilcoinokat
A SwapNet egy decentralizált tőzsde‑aggregátor, amely különböző decentralizált tőzsdék likviditását gyűjti össze, hogy a felhasználók a lehető legjobb árfolyamon tudjanak kereskedni a különféle platformokon. 2026. január 26-án rosszindulatú szereplők több okosszerződés sebezhetőségét kihasználva mintegy 16,8 millió dollárt loptak el a SwapNettől (illetve az Aperture Finance-től), amelyből körülbelül 10,5 millió USDC stabilcoin volt.
A problémás okosszerződések egyike a router szerződés volt, ami a felhasználó és a különböző decentralizált tőzsdék vagy likviditási poolok között közvetít. Gyakorlatilag összehasonlítja az árfolyamokat és a legjobb útvonalon hajtja végre a tranzakciót. A támadók azt használták ki, hogy sok felhasználó állandó jóváhagyást adott az okosszerződésnek, ami lehetővé tette, hogy a szerződés korlátlan mennyiségű tokent használhasson fel a felhasználó tárcájából.
A Circle ezúttal sem csinált semmit a befagyasztás érdekében
A támadók az ellopott USDC‑t gyorsan átváltották etherre, majd átküldték más hálózatokra, hogy elkerüljék a befagyasztást. De most úgy tűnik, hogy nem is kellett volna sietniük, mert az USDC kibocsátó Circle nem igazán lépett az eszközök befagyasztásában. Több blokklánc-elemző, mint például az X-en Tanuki42 néven futó felhasználó arról posztolt, hogy 3 millió dollár értékű USDC befagyasztatlanul ül egy Base tárcacímen. Tanuki42 meg is szólította a Circle-t és vezérigazgatóját, hogy mire várnak a befagyasztással.
De a jóval elismertebb elemző, ZachXBT szintén betámadta a Circle-t, egyszerűen felelőtlen szereplőnek nevezve a céget, amely egyáltalán nem tűnik a felhasználóival. A hackerek általában gyorsan átváltják a stabilcoinokat, mint USDC vagy USDT, olyan eszközökre, amelyeket nem lehet befagyasztani. Ilyenek például a DAI stabilcoin, vagy a natív ether, amelyet kriptomixereken, például a Tornado Cash‑en keresztül lehet átfuttatni és megszabadulni a nyomoktól.
Nem ez az első alkalom, hogy a kriptós közösség nekiugrik a Circle-nek a cég tétlensége miatt. Ugyanilyen tétlenek voltak ugyanis a tavalyi, 42 millió dolláros GMX‑hack után, valamint azután, hogy észak‑koreai hackerek a ByBittől lopott pénzek tisztára mosásán ügyködtek. Akkor a Tether által befagyasztott 1,6 milliárd dollárhoz képest – amely több mint 2 500 címről származott – a Circle mindössze 110 millió dollárt fagyasztott be kevesebb mint 500 címről.
A SwapNet hackben azon felhasználók veszítettek pénzt, akik tokenmozgatási engedélyt adtak okosszerződéseknek. A Matcha Meta protokoll részeként működő SwapNet felszólította a felhasználókat, hogy vonják vissza a korábban megadott jóváhagyásaikat a külsős okosszerződésekhez.
A BlockSec elemzése szerint nem kizárólag a SwapNet router szerződésében volt hiba, hanem több különböző szerződés kompromittálódott. Elvileg összesen kilenc ilyenről van információ, amelyek 16 különálló támadásban szenvedtek veszteséget. A szerződések telepítő címei a SwapNethez és az Aperture Finance‑hez tartoznak, ezekből jött össze a nagyjából 17 millió dollárnyi veszteség.
Egyik protokoll szerződései sem voltak auditálva és nem voltak nyílt forráskódú sem, ráadásul tartalmaztak egy hátsó kapus sebezhetőséget. Ez lehetővé tette, hogy a támadók tetszőleges hívásokat indítsanak a szerződésen keresztül, és így hozzáférjenek a felhasználók által előzőleg jóváhagyott tokenekhez.