Am 26. Januar attackierten unbekannte Angreifer den Liquiditätsanbieter SwapNet. Die Entwickler des DEX-Aggregators Matcha Meta wiesen als erste darauf hin.
Uns ist ein Vorfall mit SwapNet bekannt, dem Benutzer von Matcha Meta möglicherweise ausgesetzt waren, wenn sie die Einmalgenehmigung deaktiviert hatten.
Wir stehen in Kontakt mit dem SwapNet-Team, und dieses hat seine Verträge vorübergehend deaktiviert.
Das Team ermittelt aktiv und wird weitere Informationen bereitstellen…
— Matcha Meta 🎆 (@matchametaxyz) 25. Januar 2026
Matcha Meta-Nutzer, die die Funktion für einmalige Berechtigungen deaktiviert und SwapNet-Verträgen manuell Berechtigungen erteilt hatten, waren gefährdet.
Um solche Risiken in Zukunft zu minimieren, haben die Entwickler diese Funktion entfernt.
Die Spezialisten von PeckShield schätzten den Schaden auf 16,8 Millionen US-Dollar. Der Angreifer tauschte 10,5 Millionen USDC in 3.655 ETH im Base-Netzwerk um und begann, die Gelder auf Ethereum abzuheben.
#PeckShieldAlert Matcha Meta hat eine Sicherheitslücke im Zusammenhang mit SwapNet gemeldet. Betroffen sind Nutzer, die die Option „Einmalige Genehmigungen“ deaktiviert haben.
Bislang wurden Kryptowährungen im Wert von rund 16,8 Millionen US-Dollar abgezweigt.
Auf #Base tauschte der Angreifer ca. 10,5 Mio. USDC gegen ca. 3.655 ETH und hat begonnen, die Gelder zu transferieren… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF
— PeckShieldAlert (@PeckShieldAlert) 26. Januar 2026
Analysten von CertiK haben den Diebstahl von 13,3 Millionen US-Dollar in USDC festgestellt. Das betroffene Projektteam hat sich zu dem Vorfall noch nicht geäußert.
SwapNet ist einer der führenden Matcha Meta Router, um die profitabelsten Angebote zu erhalten oder auf große Liquiditätspools zuzugreifen.
Der Onchain-Detektiv ZachXBT bemerkte die schleppende Reaktion des Emittenten Circle. Seinen Angaben zufolge befinden sich noch etwa 3 Millionen Coins auf einer Adresse, die technisch eingefroren werden könnte. Das Unternehmen hat jedoch auch 10 Stunden nach dem Hack noch keine Maßnahmen ergriffen.
Die Geschichte hat gezeigt, dass Circle ein schlechter Akteur ist.
SwapNet-Kontrakte wurden vor etwa 10 Stunden auf Base für 13 Millionen US-Dollar ausgenutzt.
3 Millionen USDC sind immer noch einfrierbar bei
0x6cAad74121bF602e71386505A4687f310e0D833eWarum sollte man weiterhin auf $USDC setzen, wenn man sich nie um seine… kümmert? pic.twitter.com/fgP3EmS7Qr
— ZachXBT (@zachxbt) 26. Januar 2026
„Warum sollte irgendjemand weiterhin auf USDC setzen, wenn man als zentralisierter Emittent niemals die Interessen seiner Nutzer schützt?“, fragte der Experte.
Das Jahr 2026 begann schlecht für den DeFi-Sektor. Mehrere dezentrale Projekte wurden im Januar gehackt:
- Das Ethereum-Verifizierungsprotokoll Truebit verlor aufgrund eines Smart-Contract-Angriffs 8.535 ETH (26,4 Millionen US-Dollar);
- Level-1-Blockchain-Unternehmen Saga verlor 7 Millionen US-Dollar in USDC;
- Hacker haben Daten von 50.000 Konten des französischen Krypto-Unternehmens Waltio gestohlen und ein Lösegeld gefordert.
Zur Erinnerung: Im Jahr 2025 erreichte die Summe der gestohlenen Gelder 3,4 Milliarden US-Dollar – den höchsten Wert seit 2022. Drei Vorfälle, darunter der Bybit-Hack, bei dem 1,46 Milliarden US-Dollar erbeutet wurden, machten 69 % aller Verluste aus.
Mitchell Amador, CEO der Web3-Sicherheitsplattform Immunefi, bezeichnete den groß angelegten Datenverstoß als „Todesurteil“ für 80 % der Protokolle.