Matcha Meta 确认遭骇客攻击损失1,680万美元

根据Web3安全平台PeckShield的报告,由0x构建的交换和桥接聚合平台Matcha Meta因SwapNet安全漏洞损失了1680万美元的数字资产。

Matcha Meta于周一披露,它在周末遭受了安全漏洞攻击,攻击者从集成到Matcha Meta界面的外部聚合器SwapNet中窃取了代币。该平台表示,禁用了其"一次性批准"功能并直接向个别聚合器授予代币权限的用户面临资金损失的风险。

在交换聚合器于X平台发布的声明中,MM表示在交易记录中出现了来自SwapNet路由合约的大量未经授权代币转移记录后,他们察觉到了可疑活动。该平台确认已联系SwapNet团队,"暂时禁用了其合约"以防止更多损失。 

Matcha Meta黑客从受害者处交换了3000枚以太币

根据区块链安全公司PeckShield的报告,攻击者通过代币批准和交换抽走了资金。他们从Base(一个以太坊第二层区块链)上的受害者地址转移了约1050万USDC,然后将稳定币兑换成3655枚以太币,将价值整合为流动性更强的资产。

完成交换后,攻击者开始将以太币从Base桥接到以太坊主网以隐藏交易痕迹。桥接是使用智能合约或中介协议在区块链之间转移资产的过程。虽然在大多数情况下它被认为是"合法的",但黑客使用它是因为这使得追踪他们的操作几乎不可能。

攻击者此前已授予代币额度以在没有用户签名的情况下转移资金,这授予了智能合约花费其代币的权限。如果额度设置为无限制,恶意或受损的合约可以抽走资金直到余额耗尽。 

Matcha Meta表示,使用其一次性批准系统与平台互动的用户未受影响。该功能通过0x的AllowanceHolder和Settler合约路由代币权限,通过授予单次交易的批准来限制交易者的风险敞口。 

"在与0x协议团队审查后,我们确认该事件的性质与0x的AllowanceHolder或Settler合约无关,"Matcha Meta随后在X上写道。该公司补充说,禁用一次性批准并在聚合器合约上设置直接额度的用户"承担每个聚合器的风险"。

该DEX交换平台移除了用户通过其界面在聚合器上设置直接额度的功能,同时要求社区撤销SwapNet路由合约上的任何现有权限。 

DeFi智能合约黑客攻击在2026年持续存在

Matcha Meta事件发生在Makina Finance遭受网络攻击仅六天后,这是一个具有自动执行功能的去中心化金融协议,其在Curve上的DUSD/USDC流动性池被抽干。

据Cryptopolitan报道,黑客从Makina的Curve稳定币池中提取了约1299枚以太币,当时价值413万美元。该漏洞涉及连接到链上定价预言机的非托管流动性提供者,这是智能合约用来确定资产价值的数据源。 

根据区块链分析公司Elliptic的数据,当今暗网洗钱活动大多涉及代币交换服务,包括通过独立网站或Telegram频道运行的即时交易所。

去年,去中心化交易所聚合器CoWSwap报告了一起漏洞攻击,导致损失超过18万美元。价值约18万美元的DAI通过CoWSwap的交易执行GPv2Settlement智能合约被盗。

该平台表示,被攻破的合约仅能访问一周内收集的协议费用,源于对求解器账户的利用。在CoWSwap的模式中,用户签署交易意图,这些意图被传递给第三方求解器,后者竞争提供最佳价格并存储收集的费用。

最聪明的加密货币专家已经在阅读我们的新闻通讯。想加入吗?加入他们吧。