Matcha Meta Bị Tấn Công Hợp Đồng Thông Minh SwapNet Trị Giá 16,8 Triệu USD

Giới thiệu
Vào Chủ nhật, Matcha Meta đã tiết lộ rằng một vi phạm bảo mật liên quan đến một trong những Người cung cấp thanh khoản chính của mình, SwapNet, đã ảnh hưởng đến người dùng đã cấp quyền cho hợp đồng router của SwapNet. Sự cố nhấn mạnh cách các thành phần được cấp phép trong hệ sinh thái sàn giao dịch phi tập trung có thể trở thành vectơ tấn công ngay cả khi cơ sở hạ tầng cốt lõi vẫn còn nguyên vẹn. Các đánh giá công khai ban đầu ước tính thiệt hại trong khoảng 13 triệu đến 17 triệu USD, với hoạt động on-chain tập trung vào mạng Base và chuyển động cross-chain hướng tới Ethereum. Việc tiết lộ này đã thúc giục người dùng thu hồi quyền phê duyệt và tăng cường giám sát cách thức bảo vệ Hợp đồng thông minh tiếp xúc với các router bên ngoài.

Điểm chính

• Vi phạm bắt nguồn từ hợp đồng router của SwapNet, thúc giục kêu gọi khẩn cấp người dùng thu hồi quyền phê duyệt để ngăn chặn thiệt hại thêm.
• Ước tính về số tiền bị đánh cắp khác nhau: CertiK báo cáo khoảng 13,3 triệu USD, trong khi PeckShield thống kê ít nhất 16,8 triệu USD trên mạng Base.
• Trên Base, kẻ tấn công đã hoán đổi khoảng 10,5 triệu USDC lấy khoảng 3,655 ETH và bắt đầu chuyển tiền sang Ethereum.
• CertiK cho rằng lỗ hổng bảo mật là do một lệnh gọi tùy ý trong hợp đồng 0xswapnet, cho phép kẻ tấn công chuyển số tiền đã được phê duyệt cho nó.
• Matcha Meta chỉ ra rằng lỗ hổng bảo mật liên quan đến SwapNet chứ không phải cơ sở hạ tầng của chính họ, và các quan chức chưa cung cấp chi tiết về Bồi thường hoặc biện pháp bảo vệ.
• Điểm yếu của Hợp đồng thông minh tiếp tục là động lực chính của các khai thác tiền điện tử, chiếm 30,5% sự cố vào năm 2025, theo báo cáo bảo mật hàng năm của SlowMist.

Ticker được đề cập

Ticker được đề cập: Crypto → USDC, ETH, TRU

Tâm lý

Tâm lý: Trung lập

Tác động giá

Tác động giá: Tiêu cực. Vi phạm nhấn mạnh rủi ro bảo mật đang diễn ra trong DeFi và có thể ảnh hưởng đến tâm lý rủi ro xung quanh cung cấp thanh khoản có trách nhiệm và quản lý phê duyệt.

Ý tưởng giao dịch (Không phải lời khuyên tài chính)

Ý tưởng giao dịch (Không phải lời khuyên tài chính): Giữ. Sự cố cụ thể cho con đường phê duyệt router và không trực tiếp ngụ ý rủi ro hệ thống rộng hơn đối với tất cả các giao thức DeFi, nhưng nó đảm bảo thận trọng xung quanh quản lý phê duyệt và thanh khoản cross-chain.

Bối cảnh thị trường

Bối cảnh thị trường: Sự kiện diễn ra giữa sự chú ý gia tăng đến bảo mật DeFi và hoạt động cross-chain, nơi Người cung cấp thanh khoản và bộ tổng hợp ngày càng dựa vào các thành phần mô-đun. Nó cũng nằm trong bối cảnh các cuộc thảo luận đang phát triển về quản trị on-chain, kiểm toán và nhu cầu về các biện pháp bảo vệ mạnh mẽ khi các giao thức hàng đầu và người tham gia mới cạnh tranh để giành lòng tin của người dùng.

Tại sao nó quan trọng

Tại sao nó quan trọng

Các sự cố bảo mật tại bộ tổng hợp DeFi minh họa các bề mặt rủi ro liên tục hiện diện khi nhiều lớp giao thức tương tác. Trong trường hợp này, vi phạm được quy cho lỗ hổng bảo mật trong hợp đồng router của SwapNet chứ không phải kiến trúc cốt lõi của Matcha Meta, nhấn mạnh cách lòng tin được phân phối trên các thành phần đối tác trong hệ sinh thái có thể kết hợp. Đối với người dùng, sự kiện này đóng vai trò như một lời nhắc nhở để xem xét và thu hồi phê duyệt token thường xuyên, đặc biệt sau khi nghi ngờ hoạt động on-chain bất thường.

Tác động tài chính, mặc dù vẫn đang phát triển, củng cố tầm quan trọng của việc kiểm tra chặt chẽ các Người cung cấp thanh khoản bên ngoài và nhu cầu về Kiểm soát rủi ro theo thời gian thực của các luồng phê duyệt. Thực tế là kẻ tấn công có thể chuyển đổi một phần đáng kể số tiền bị đánh cắp thành stablecoin và sau đó chuyển tài sản sang Ethereum làm nổi bật động lực cross-chain làm phức tạp các nỗ lực truy xuất nguồn gốc và bồi hoàn sau sự cố. Các sàn giao dịch và nhà nghiên cứu bảo mật nhấn mạnh giá trị của phạm vi quyền chi tiết, giới hạn thời gian và khả năng thu hồi sớm để hạn chế bán kính tác động của các khai thác như vậy.

Từ góc độ thị trường, sự kiện bổ sung vào câu chuyện rộng hơn về sự mong manh của tài chính không cần phép và cuộc đua đang diễn ra để triển khai các biện pháp bảo vệ mạnh mẽ, có thể kiểm toán trên các lớp của hệ sinh thái DeFi. Mặc dù không phải là một bản cáo trạng hệ thống của Matcha Meta, sự cố này làm tăng thêm lời kêu gọi về kiểm toán hợp đồng thông minh chuẩn hóa của các hợp đồng router và trách nhiệm giải trình rõ ràng hơn đối với các mô-đun của bên thứ ba tương tác với tiền của người dùng.

Điều gì cần theo dõi tiếp theo

Điều gì cần theo dõi tiếp theo

• Cập nhật chính thức của Matcha Meta về nguyên nhân gốc rễ và bất kỳ kế hoạch khắc phục hoặc Bồi thường nào cho người dùng bị ảnh hưởng.
• Bất kỳ kiểm toán bên ngoài hoặc đánh giá của bên thứ ba nào về hợp đồng router của SwapNet và thay đổi quản trị để ngăn chặn tái diễn.
• Giám sát on-chain hoạt động cầu nối Base-to-Ethereum liên quan đến sự cố này và chuyển động tiền sau đó.
• Các phát triển tiêu chuẩn quy định và ngành về bảo mật DeFi, đặc biệt là khung kiểm toán hợp đồng thông minh và kiểm soát phê duyệt người dùng.

Nguồn & xác minh

• Bài đăng của Matcha Meta trên X cảnh báo người dùng thu hồi quyền phê duyệt SwapNet sau vi phạm.
• Tư vấn của CertiK xác định khai thác là bắt nguồn từ một lệnh gọi tùy ý trong hợp đồng 0xswapnet cho phép chuyển tiền đã được phê duyệt.
• Cập nhật của PeckShield ghi nhận khoảng 16,8 triệu USD bị rút cạn trên Base, bao gồm hoán đổi USDC lấy ETH và chuyển sang Ethereum.
• Báo cáo bảo mật Blockchain và AML hàng năm 2025 của SlowMist chi tiết về tỷ lệ các sự cố theo danh mục, bao gồm 30,5% được quy cho lỗ hổng bảo mật Hợp đồng thông minh và 24% cho xâm phạm tài khoản.
• Tin tức của Cointelegraph về sự cố Truebit, bao gồm khoản lỗ 26 triệu USD và sự sụt giảm của token TRU, cho bối cảnh rộng hơn về rủi ro tiếp xúc Hợp đồng thông minh.

Nội dung bài viết được viết lại

Vi phạm bảo mật tại Matcha Meta nhấn mạnh rủi ro Hợp đồng thông minh trong hệ sinh thái DEX

Trong ví dụ mới nhất về cách DeFi có thể bị xâm phạm từ bên trong, Matcha Meta đã tiết lộ rằng một vi phạm bảo mật xảy ra thông qua một trong những con đường cung cấp thanh khoản chính của nó—hợp đồng router của SwapNet. Hậu quả đối mặt với người dùng là thu hồi phê duyệt token, mà giao thức đã thúc giục rõ ràng trong bài đăng công khai của mình. Vi phạm không xuất hiện từ cơ sở hạ tầng cốt lõi của Matcha Meta, công ty chỉ ra, mà là từ một lỗ hổng bảo mật trong lớp router của đối tác đã cấp quyền để di chuyển tiền thay mặt người dùng.

Ước tính ban đầu từ các nhà nghiên cứu bảo mật đặt tác động tài chính trong một phạm vi chặt chẽ. CertiK định lượng thiệt hại ở mức khoảng 13,3 triệu USD, trong khi PeckShield báo cáo con số tối thiểu cao hơn là 16,8 triệu USD trên mạng Base. Sự khác biệt phản ánh các phương pháp kế toán on-chain khác nhau và thời gian của các đánh giá sau sự cố, nhưng cả hai phân tích đều xác nhận khoản lỗ có ý nghĩa gắn với chức năng router của SwapNet. Trên Base, kẻ tấn công được cho là đã hoán đổi khoảng 10,5 triệu USDC (CRYPTO: USDC) lấy khoảng 3,655 ETH (CRYPTO: ETH) và bắt đầu chuyển số tiền thu được về phía Ethereum, theo bản tin của PeckShield được đăng trên X.

Đánh giá của CertiK cung cấp một giải thích kỹ thuật cho khai thác: một lệnh gọi tùy ý trong hợp đồng 0xswapnet cho phép kẻ tấn công rút tiền mà người dùng đã phê duyệt, hiệu quả bỏ qua việc trộm cắp trực tiếp từ nhóm thanh khoản của SwapNet và thay vào đó tận dụng các quyền được cấp cho router. Sự phân biệt này quan trọng vì nó chỉ ra một lỗi quản trị hoặc thiết kế ở lớp tích hợp hơn là vi phạm các kiểm soát bảo quản hoặc bảo mật của chính Matcha Meta.

Matcha Meta thừa nhận lỗ hổng bảo mật liên quan đến SwapNet và không quy lỗ hổng bảo mật cho cơ sở hạ tầng của chính mình. Các nỗ lực để có được nhận xét về cơ chế Bồi thường hoặc biện pháp bảo vệ không được trả lời ngay lập tức, khiến người dùng bị ảnh hưởng không có con đường khắc phục rõ ràng trong thời gian tới. Sự cố minh họa hồ sơ rủi ro rộng hơn cho các bộ tổng hợp DEX: khi quan hệ đối tác giới thiệu giao diện hợp đồng mới, kẻ tấn công có thể nhắm mục tiêu các luồng được phép nằm ở giao điểm của phê duyệt người dùng và chuyển tiền tự động.

Bối cảnh bảo mật rộng hơn trong tiền điện tử vẫn cứng đầu bất ổn. Vào năm 2025, lỗ hổng bảo mật Hợp đồng thông minh là nguyên nhân hàng đầu của các khai thác tiền điện tử, chiếm 30,5% sự cố và 56 sự kiện tổng cộng, theo báo cáo hàng năm của SlowMist. Tỷ lệ này làm nổi bật cách thức ngay cả các dự án tinh vi có thể bị vấp ngã bởi lỗi trường hợp biên hoặc cấu hình sai trong mã điều khiển chuyển giá trị tự động. Xâm phạm tài khoản và tài khoản mạng xã hội bị xâm phạm (chẳng hạn như tay cầm X của nạn nhân) cũng đại diện cho một phần đáng kể của các sự cố, nhấn mạnh bản chất đa vectơ của bộ công cụ của kẻ tấn công.

Ngoài các góc độ thuần kỹ thuật, sự cố đưa vào một diễn ngôn đang phát triển xung quanh việc sử dụng trí tuệ nhân tạo trong bảo mật Hợp đồng thông minh. Các báo cáo THÁNG MƯỜI HAI lưu ý rằng các AI Agent có sẵn thương mại đã phát hiện khoảng 4,6 triệu USD khai thác on-chain theo thời gian thực, tận dụng các công cụ như Claude Opus 4.5, Claude Sonnet 4.5 và GPT-5 của OpenAI. Sự xuất hiện của các kỹ thuật thăm dò và khai thác hỗ trợ AI thêm một lớp phức tạp vào đánh giá rủi ro cho kiểm toán viên và nhà điều hành. Bối cảnh mối đe dọa đang phát triển này củng cố nhu cầu về giám sát liên tục, thu hồi nhanh các quyền và các biện pháp phòng thủ thích ứng trong hệ sinh thái DeFi.

Hai tuần trước sự cố SwapNet, một lỗ hổng bảo mật Hợp đồng thông minh nổi bật khác dẫn đến khoản lỗ 26 triệu USD cho giao thức Truebit, theo sau là phản ứng giá dốc trong token TRU (CRYPTO: TRU). Các tập như vậy nhấn mạnh thực tế rằng lớp Hợp đồng thông minh vẫn là bề mặt tấn công chính cho tin tặc, ngay cả khi các lĩnh vực khác trong lĩnh vực tiền điện tử—bảo quản, cơ sở hạ tầng tập trung và các thành phần ngoài chuỗi—cũng đối mặt với các mối đe dọa liên tục. Chủ đề lặp lại là quản lý rủi ro phải mở rộng vượt ra ngoài kiểm toán và tiền thưởng lỗi để bao gồm quản trị trực tiếp, Kiểm soát rủi ro theo thời gian thực và các thực hành người dùng thận trọng xung quanh phê duyệt và chuyển động cross-chain.

Khi thị trường tiêu hóa các tác động, các nhà quan sát nhấn mạnh rằng con đường đến khả năng phục hồi trong DeFi dựa vào các biện pháp bảo vệ nhiều lớp và phản ứng sự cố minh bạch. Trong khi lỗ hổng bảo mật của SwapNet xuất hiện cô lập với một tích hợp cụ thể, sự cố củng cố một bài học trung tâm: ngay cả các đối tác đáng tin cậy cũng có thể gây ra rủi ro hệ thống nếu các hợp đồng của họ tương tác với tiền của người dùng theo những cách bỏ qua các biện pháp bảo vệ tiêu chuẩn. Hồ sơ on-chain sẽ tiếp tục triển khai khi các điều tra viên, Matcha Meta và các đối tác thanh khoản của nó tiến hành đánh giá pháp y và xác định xem nạn nhân có nhận được Bồi thường hoặc cải tiến cho các kiểm soát rủi ro có thể ngăn chặn các sự cố tương tự trong tương lai hay không.

Bài viết này ban đầu được xuất bản dưới tên Matcha Meta bị tấn công Hợp đồng thông minh SwapNet trị giá 16,8 triệu USD trên Crypto Breaking News – nguồn đáng tin cậy của bạn về tin tức tiền điện tử, tin tức Bitcoin và cập nhật blockchain.