Matcha Meta 遭受 SwapNet 漏洞攻擊損失 1,680 萬美元

去中心化交易平台 Matcha Meta 在涉及其 SwapNet 合約的重大安全事件後陷入困境,該事件導致估計 1,680 萬美元的資產被盜。

區塊鏈安全公司 PeckShield 首先標記了這次攻擊,揭露攻擊者在開始跨鏈橋接資產之前,迅速將大部分被盜資金轉換為 Ethereum。

此次漏洞觸發了受影響合約的立即關閉,Matcha Meta 急於遏制進一步損失。SwapNet 合約現已暫時停用,整個平台的直接聚合器授權已被移除。

雖然調查仍在進行中,但目前尚不清楚是否有任何用戶資金已被追回。

這次事件再次凸顯了與永久代幣授權和 DeFi 複雜聚合器基礎設施相關的日益增長的風險。

攻擊者在橋接至 Ethereum 前於 Base 上轉換數百萬美元

鏈上數據顯示,此次攻擊展開迅速。

攻擊者專注於 Base,在短時間內將大約 1,050 萬美元的 USDC 兌換為約 3,655 ETH。轉換完成後,資金迅速轉移至 Ethereum,這是一條常見的洗錢路線,因為流動性更深且 DeFi 基礎設施更廣泛。

這種模式反映了許多近期的 DeFi 攻擊,攻擊者:

• 從智能合約中抽取資產

• 轉換為高流動性代幣如 ETH

• 跨網路橋接資金

• 使用去中心化協議模糊追蹤路徑

執行速度表明攻擊者準備充分,並且可能在發動攻擊前密切監控 SwapNet 的合約行為。

安全分析師持續追蹤錢包動向,因為資金分散到基於 Ethereum 的地址。

SwapNet 合約停用,緊急應對開始

Matcha Meta 在攻擊浮現後迅速採取行動。

團隊確認所有 SwapNet 合約已暫時關閉,與 Matcha Meta 直接相關的聚合器授權已作為預防措施被移除。

這項緊急措施旨在防止任何進一步的未經授權轉帳,同時安全團隊分析此次漏洞。

然而,停用合約無法撤銷鏈上已執行的交易,這意味著被盜資金可能無法追回,除非中心化出金通道在洗錢過程的後期凍結資產。

到目前為止,Matcha Meta 尚未確認是否會為受影響的用戶部署保險基金、賠償或追回工作。

該平台已敦促所有用戶立即審查並撤銷與聚合器相關的現有代幣授權。

永久代幣授權被確定為核心風險

這次攻擊再次暴露了 DeFi 最危險的設計缺陷之一:無限制代幣授權。

許多用戶在交換代幣時為了方便而向聚合器和智能合約授予永久權限。雖然這減少了摩擦,但也創造了長期存在的漏洞。

一旦惡意行為者獲得對受損合約或攻擊途徑的訪問權限,他們可以立即抽空已授權的錢包,無需進一步的用戶簽名。

誰最有風險:

• 對聚合器有長期授權的用戶

• 繞過一次性授權系統的錢包

• 與較新智能合約互動的交易者

安全專家現在強調應完全避免無限制授權,特別是在使用實驗性 DeFi 基礎設施時。

Matcha Meta 特別建議用戶撤銷與 SwapNet 和 0x 的一次性授權框架之外的其他聚合器相關的任何授權。

敦促用戶撤銷權限並切換至一次性授權

在攻擊發生後,緊急安全指南正在加密社群中傳播。

建議採取的行動包括:

• 立即撤銷與 Matcha Meta 和 SwapNet 相關的所有代幣授權

• 在區塊瀏覽器或授權管理工具上審查錢包權限

• 在交換代幣時使用一次性授權

• 僅與受信任和經審計的聚合器互動

一次性授權確保智能合約只能訪問單次交易的代幣,而不是無限期地訪問。

這種方法顯著降低了風險,即使協議後來受到損害。

隨著 DeFi 活動變得越來越複雜,權限管理正日益變得與私鑰安全同樣重要。

隨著攻擊方法變得更加複雜,DeFi 攻擊持續增加

Matcha Meta 事件增加到了 2025 年和 2026 年初高價值 DeFi 漏洞的增長清單中。

許多現代攻擊不再是簡單的智能合約錯誤,而是涉及:

• 權限濫用

• 聚合器路由弱點

• 跨鏈橋漏洞

• 流動性操縱

攻擊者不再僅依賴編碼錯誤,他們利用用戶隨時間與協議互動的方式。

無限制授權、分層智能合約系統和多鏈基礎設施創造了一個不斷擴大的攻擊面,駭客在導航方面越來越熟練。

安全公司一再警告,隨著 DeFi 規模擴大,用戶端風險管理必須與協議審計同步改進。

如果沒有更好的授權標準、錢包層級的保護措施和內建交易限制,類似事件可能會繼續發生。

對 DeFi 用戶和平台的嚴厲提醒

1,680 萬美元的 SwapNet 攻擊再次痛苦地提醒我們,DeFi 的便利性往往是以安全性為代價的。

對用戶而言,永久授權可能會悄悄地將錢包變成開放的金庫。

對平台而言,複雜的聚合器系統引入了需要持續監控和快速響應能力的風險向量。

雖然去中心化金融繼續推向主流採用,但每次攻擊都會減緩信任、增加監管壓力,並加強對更安全基礎設施的需求。

在授權系統預設變得更具用戶保護性之前,責任將繼續嚴重落在個人身上以保護他們的錢包。

目前,整個加密領域的訊息很明確:

• 撤銷舊授權。
• 使用一次性權限。
• 像對待私鑰一樣對待智能合約訪問權限。

因為在 DeFi 中,一個被遺忘的授權可能會造成數百萬美元的損失。

披露:這不是交易或投資建議。在購買任何加密貨幣或投資任何服務之前,請務必進行自己的研究。

在 Twitter 上關注我們 @nulltxnews 以獲取最新的 Crypto、NFT、AI、Cybersecurity、Distributed Computing 和 Metaverse 新聞!