Matcha Meta waarschuwt na hack bij SwapNet: tot 16,8 miljoen dollar buitgemaakt

donderdag, 29 januari 2026 (13:40) - Newsbit.nl

In dit artikel:

Matcha Meta waarschuwde zondag voor een beveiligingsincident bij liquiditeitsverschaffer SwapNet: een kwetsbaarheid in een smart contract maakte het mogelijk dat aanvallers eerder verleende tokengoedkeuringen misbruikten om gebruikersmiddelen weg te sluizen. Matcha Meta benadrukt dat het probleem niet in hun eigen infrastructuur zit, maar bij SwapNet, en roept gebruikers op om alle goedkeuringen aan het routercontract van SwapNet onmiddellijk in te trekken.

De omvang van de buit is nog onduidelijk: beveiligingsfirma CertiK meldt ongeveer 13,3 miljoen dollar gestolen, terwijl PeckShield minstens 16,8 miljoen dollar noemt op het Base-netwerk. Volgens PeckShield werd circa 10,5 miljoen USDC omgeruild voor ongeveer 3.655 ETH, waarna delen van de gestolen fondsen naar het Ethereum-netwerk werden verplaatst. CertiK wijst op een “willekeurige aanroep” in het SwapNet-contract als vermoedelijke oorzaak, waardoor eerdere toestemmingen konden worden misbruikt.

Token approvals functioneren als automatische incasso’s voor smart contracts: gebruikers geven een contract toestemming om tokens namens hen te verplaatsen zonder elke transactie handmatig goed te keuren. Als dat contract daarna kwetsbaar blijkt, biedt die toestemming een directe route voor diefstal. Daarom is het intrekken van zulke machtigingen in deze situatie cruciaal om verdere verliezen te voorkomen.

Het incident komt kort na een andere grote exploit: twee weken eerder veroorzaakte een kwetsbaarheid bij het Truebit-protocol naar verluidt een verlies van ongeveer 26 miljoen dollar en drukte de prijs van de TRU-token. Beveiligingsbedrijven signaleren dat smart contract-fouten één van de belangrijkste oorzaken van crypto-verliezen blijven; SlowMist rapporteerde dat in 2025 smart contract-issues 30,5% van de aanvallen uitmaakten (56 incidenten).

Onderzoekers waarschuwen bovendien dat kunstmatige intelligentie het tempo van het vinden van kwetsbaarheden verhoogt. Commerciële generatieve AI-agents zouden in december kwetsbaarheden hebben opgespoord die samen miljoenen dollars aan mogelijke exploits blootlegden, wat zowel verdedigers als aanvallers nieuwe mogelijkheden biedt.

Wat kunnen gebruikers doen? Intrekken van tokengoedkeuringen voor SwapNet is de eerste en meest dringende stap. Dat kan via interfaces als Etherscan, specifieke “revoke” tools (bijv. Revoke.cash) of via wallet-instellingen waar goedkeuringen worden beheerd. Controleer ook of je ooit toestemming gaf aan SwapNet en beperk, waar mogelijk, standaard hoge limieten voor tokenallowances.