Matcha Meta 遭 SwapNet 智能合约攻击损失 1,680 万美元

简介
星期日,Matcha Meta 披露其主要流动性提供商之一 SwapNet 发生安全漏洞,已授予 SwapNet 路由合约批准的用户受到影响。此事件凸显了去中心化交易所生态系统中的授权组件如何在核心基础设施保持完好的情况下成为攻击媒介。早期公开评估显示损失约在 1,300 万至 1,700 万美元之间,链上活动集中在 Base 网络和向以太坊的跨链转移。该披露促使用户撤销批准,并加强对暴露于外部路由器的智能合约如何受保护的审查。

要点

• 漏洞源于 SwapNet 的路由合约,促使紧急呼吁用户撤销批准以防止进一步损失。
• 被盗资金估计各异:CertiK 报告约 1,330 万美元,而 PeckShield 统计 Base 网络上至少 1,680 万美元。
• 在 Base 上,攻击者将约 1,050 万 USDC 兑换为约 3,655 ETH,并开始将资金桥接至以太坊。
• CertiK 将漏洞归因于 0xswapnet 合约中的任意调用,允许攻击者转移已批准给它的资金。
• Matcha Meta 表示暴露与 SwapNet 有关而非其自身基础设施,官方尚未提供有关补偿或保障措施的详细信息。
• 根据 SlowMist 的年度安全报告,智能合约弱点继续是加密货币攻击的主要驱动因素,占 2025 年事件的 30.5%。

提及的代币

提及的代币: 加密货币 → USDC、ETH、TRU

情绪

情绪: 中性

价格影响

价格影响: 负面。此漏洞凸显了 DeFi 中持续存在的安全风险,可能影响围绕负责任的流动性提供和批准管理的风险情绪。

交易想法(非财务建议)

交易想法(非财务建议): 持有。该事件特定于路由器批准途径,并不直接意味着对所有 DeFi 协议的更广泛系统性风险,但需要谨慎对待批准管理和跨链流动性。

市场背景

市场背景: 此事件发生在 DeFi 安全和跨链活动受到高度关注之际,流动性提供商和聚合器越来越依赖模块化组件。它也处于关于链上治理、审计以及蓝筹协议和新进入者竞争用户信任时需要强大保障措施的不断演变讨论的背景下。

为何重要

为何重要

DeFi 聚合器的安全事件说明了多个协议层交互时存在的持续风险面。在这种情况下,漏洞归因于 SwapNet 的路由合约中的漏洞而非 Matcha Meta 的核心架构,凸显了在可组合生态系统中信任如何分布在合作伙伴组件中。对用户而言,这一事件提醒要定期审查和撤销代币批准,特别是在怀疑异常链上活动之后。

财务影响虽然仍在演变,但强化了严格审查外部流动性提供商的重要性以及实时监控批准流程的必要性。攻击者能够将大部分被盗资金转换为稳定币,然后将资产桥接至以太坊,这一事实凸显了跨链动态使事后可追溯性和赔偿工作复杂化。交易所和安全研究人员强调细粒度、有时限的权限范围和早期撤销能力的价值,以限制此类攻击的影响范围。

从市场角度来看,这一事件增加了关于无需许可金融脆弱性以及在 DeFi 生态系统各层实施强大、可审计保障措施的持续竞赛的更广泛叙事。虽然不是对 Matcha Meta 的系统性指控,但该事件加强了对路由合约标准化安全审计的呼声,以及对与用户资金交互的第三方模块更明确的问责制。

接下来关注什么

接下来关注什么

• Matcha Meta 关于根本原因以及受影响用户的任何补救或补偿计划的官方更新。
• 任何关于 SwapNet 路由合约的外部审计或第三方审查以及防止再次发生的治理变更。
• 与此事件相关的 Base 至以太坊桥接活动的链上监控以及后续资金流动。
• 围绕 DeFi 安全的监管和行业标准发展,特别是智能合约审计框架和用户批准控制。

来源与验证

• Matcha Meta 在 X 上发布的警告用户在漏洞后撤销 SwapNet 批准的帖子。
• CertiK 咨询报告,确认攻击源于 0xswapnet 合约中的任意调用,允许转移已批准的资金。
• PeckShield 的更新,指出 Base 上约 1,680 万美元被耗尽,包括 USDC 兑换 ETH 以及桥接至以太坊。
• SlowMist 的 2025 年区块链安全和反洗钱年度报告,详细说明按类别划分的事件份额,包括 30.5% 归因于智能合约漏洞,24% 归因于账户泄露。
• Cointelegraph 对 Truebit 事件的报道,包括 2,600 万美元损失和 TRU 代币下跌,为智能合约风险暴露提供更广泛背景。

改写文章正文

Matcha Meta 安全漏洞凸显 DEX 生态系统中的智能合约风险

在 DeFi 如何从内部被攻破的最新例子中,Matcha Meta 披露通过其主要流动性提供途径之一——SwapNet 的路由合约发生了安全漏洞。面向用户的后果是撤销代币批准,该协议在其公开帖子中明确敦促这样做。该公司表示,漏洞似乎并非源于 Matcha Meta 的核心基础设施,而是源于合作伙伴路由层中的漏洞,该层授予代表用户转移资金的权限。

安全研究人员的早期估计将财务影响置于一个紧密范围内。CertiK 量化损失约为 1,330 万美元,而 PeckShield 报告 Base 网络上更高的最低数字为 1,680 万美元。这种差异反映了不同的链上会计方法和事后审查时间,但两项分析都证实了与 SwapNet 路由功能相关的重大损失。根据 PeckShield 发布到 X 的公告,在 Base 上,攻击者据报将约 1,050 万 USDC(加密货币:USDC)兑换为约 3,655 ETH(加密货币:ETH),并开始将收益桥接至以太坊。

CertiK 的评估为该攻击提供了技术解释:0xswapnet 合约中的任意调用使攻击者能够提取用户已批准的资金,有效绕过直接从 SwapNet 流动性池盗窃,而是利用授予路由器的权限。这种区别很重要,因为它指向集成层的治理或设计缺陷,而不是 Matcha Meta 自身托管或安全控制的漏洞。

Matcha Meta 承认暴露与 SwapNet 有关,并未将漏洞归因于其自身基础设施。试图获得关于补偿机制或保障措施的评论未立即得到回复,使受影响的用户在短期内没有明确的补救途径。该事件说明了 DEX 聚合器更广泛的风险状况:当合作伙伴关系引入新的合约接口时,攻击者可能针对位于用户批准和自动资金转移交叉点的授权流程。

加密货币的更广泛安全格局仍然顽固地不稳定。根据 SlowMist 的年度报告,2025 年,智能合约漏洞是加密货币攻击的主要原因,占事件的 30.5% 和 56 起总事件。这一份额凸显了即使是复杂的项目也可能被边缘案例错误或管理自动价值转移的代码中的错误配置所困扰。账户泄露和受损社交账户(如受害者的 X 账号)也占事件的相当一部分,凸显了攻击者工具包的多向量性质。

除了纯技术角度之外,该事件助长了围绕在智能合约安全中使用人工智能的日益增长的讨论。12 月报告指出,商业可用的 AI 代理实时发现了价值约 460 万美元的链上攻击,利用 Claude Opus 4.5、Claude Sonnet 4.5 和 OpenAI 的 GPT-5 等工具。AI 驱动的探测和攻击技术的出现为审计员和运营商的风险评估增加了一层复杂性。这种不断演变的威胁格局强化了 DeFi 生态系统中持续监控、快速撤销权限和适应性防御措施的需求。

在 SwapNet 事件发生前两周,另一个备受瞩目的智能合约漏洞导致 Truebit 协议损失 2,600 万美元,随后 TRU 代币(加密货币:TRU)出现急剧价格反应。此类事件强调了智能合约层仍然是黑客的主要攻击面这一事实,即使加密货币领域的其他领域——托管、中心化基础设施和链下组件——也面临持续威胁。反复出现的主题是,风险管理必须超越审计和漏洞赏金,包括实时治理、实时监控以及围绕批准和跨链转移的谨慎用户实践。

随着市场消化影响,观察者强调 DeFi 的韧性之路依赖于分层保障措施和透明的事件响应。虽然 SwapNet 的漏洞似乎仅限于特定集成,但该事件强化了一个核心教训:即使是受信任的合作伙伴,如果其合约以绕过标准保障措施的方式与用户资金交互,也可能引入系统性风险。随着调查人员、Matcha Meta 及其流动性合作伙伴进行取证审查并确定受害者是否将获得补偿或增强风险控制以防止未来类似事件,链上记录将继续展开。

本文最初发布为 Matcha Meta 遭遇 1,680 万美元 SwapNet 智能合约攻击,来源:Crypto Breaking News——您值得信赖的加密货币新闻、比特币新闻和区块链更新来源。