Matcha Meta 在 SwapNet 漏洞中损失 1680 万美元

去中心化交易平台 Matcha Meta 在其 SwapNet 合约发生重大安全事件后陷入困境,估计导致价值 1,680 万美元的资产被盗。

区块链安全公司 PeckShield 首先发现了这次攻击,披露攻击者在开始跨链转移资产之前,迅速将大部分被盗资金转换为 Ethereum。

此次漏洞触发了受影响合约的立即关闭,Matcha Meta 急忙遏制进一步损失。SwapNet 合约现已暂时停用,平台上的直接聚合器授权也已被移除。

虽然调查仍在进行中,但目前尚不清楚是否有任何用户资金已被追回。

这一事件再次凸显了与永久代币授权和 DeFi 中复杂聚合器基础设施相关的日益增长的风险。

攻击者在跨链转移至 Ethereum 前于 Base 上转换数百万美元

链上数据显示,这次攻击迅速展开。

攻击者专注于 Base,在短时间内将约 1,050 万美元的 USDC 兑换为大约 3,655 ETH。转换完成后,资金迅速转移至 Ethereum,由于更深的流动性和更广泛的 DeFi 基础设施,这是一条常见的洗钱路线。

这种模式反映了许多近期的 DeFi 攻击,攻击者:

• 从智能合约中抽取资产

• 转换为 ETH 等高流动性代币

• 跨网络转移资金

• 使用去中心化协议掩盖踪迹

执行速度表明攻击者准备充分,可能在发动攻击前密切监控 SwapNet 的合约行为。

随着资金分散到基于 Ethereum 的地址,安全分析师继续追踪钱包动向。

SwapNet 合约停用,紧急应对开始

一旦攻击浮出水面,Matcha Meta 迅速采取行动。

团队确认所有 SwapNet 合约已暂时关闭,与 Matcha Meta 直接相关的聚合器授权已作为预防措施被移除。

这一紧急措施旨在防止任何进一步的未经授权转账,同时安全团队分析漏洞。

然而,停用合约并不能逆转已在链上执行的交易,这意味着被盗资金可能无法追回,除非中心化出口在洗钱过程中后期冻结资产。

到目前为止,Matcha Meta 尚未确认是否会为受影响的用户部署保险基金、赔偿或追回工作。

该平台已敦促所有用户立即审查并撤销与聚合器相关的现有代币授权。

永久代币授权被确定为核心风险

这次攻击再次暴露了 DeFi 最危险的设计缺陷之一:无限代币授权。

许多用户在交换代币时为了方便而授予聚合器和智能合约永久权限。虽然这减少了摩擦,但也造成了持续的漏洞。

一旦恶意行为者获得对被入侵合约或攻击途径的访问权限,他们可以立即清空已授权的钱包,而无需进一步的用户签名。

最高风险群体:

• 对聚合器有长期授权的用户

• 绕过一次性授权系统的钱包

• 与较新智能合约互动的交易者

安全专家现在强调应完全避免无限授权,尤其是在使用实验性 DeFi 基础设施时。

Matcha Meta 特别建议用户撤销与 SwapNet 和 0x 的一次性授权框架之外的其他聚合器相关的任何授权。

敦促用户撤销权限并切换至一次性授权

在攻击发生后,紧急安全指南在加密货币社区中流传。

建议行动包括:

• 立即撤销与 Matcha Meta 和 SwapNet 相关的所有代币授权

• 在区块浏览器或授权管理工具上审查钱包权限

• 在交换代币时使用一次性授权

• 仅与受信任和经过审计的聚合器互动

一次性授权确保智能合约只能访问单次交易的代币,而不是无限期访问。

即使协议后来被入侵,这种方法也能显著降低风险。

随着 DeFi 活动变得更加复杂,权限管理正日益变得与私钥安全一样重要。

随着攻击方法日益复杂,DeFi 攻击持续上升

Matcha Meta 事件增加了 2025 年和 2026 年初高价值 DeFi 漏洞的不断增长的清单。

许多现代攻击不再是简单的智能合约错误,现在涉及:

• 权限滥用

• 聚合器路由弱点

• 跨链桥漏洞

• 流动性操纵

攻击者不再仅仅依赖编码错误,他们利用用户长期与协议互动的方式。

无限授权、分层智能合约系统和多链基础设施创造了不断扩大的攻击面,黑客越来越善于驾驭这些攻击面。

安全公司一再警告,随着 DeFi 规模扩大,用户端风险管理必须与协议审计一起改进。

如果没有更好的授权标准、钱包级保障措施和内置交易限制,类似事件可能会继续发生。

对 DeFi 用户和平台的严厉提醒

价值 1,680 万美元的 SwapNet 攻击再次令人痛苦地提醒人们,DeFi 的便利性往往以安全性为代价。

对于用户来说,永久授权可以悄悄地将钱包变成开放的金库。

对于平台来说,复杂的聚合器系统引入了需要持续监控和快速响应能力的风险因素。

虽然去中心化金融继续推动主流采用,但每次攻击都会减缓信任,增加监管压力,并强化对更安全基础设施的需求。

在授权系统默认变得更加保护用户之前,责任将继续主要落在个人身上以保护他们的钱包。

目前,整个加密货币领域的信息很明确:

• 撤销旧授权。
• 使用一次性权限。
• 像对待私钥一样对待智能合约访问权限。

因为在 DeFi 中,一个被遗忘的授权可能会造成数百万美元的损失。

免责声明:这不是交易或投资建议。在购买任何加密货币或投资任何服务之前,请务必进行自己的研究。

在 Twitter 上关注我们 @nulltxnews 以获取最新的加密货币、NFT、AI、网络安全、分布式计算和 元宇宙新闻!