Một vụ xâm phạm an ninh liên quan đến sàn Sàn phi tập trung (DEX) Matcha Meta đã dẫn đến việc đánh cắp khoảng 16,8 triệu đô la tài sản tiền điện tử, bổ sung vào danh sách ngày càng dài các vụ khai thác hợp đồng thông minh tiếp tục thử thách các giả định về tính an toàn của người dùng DeFi .
Sự việc xảy ra vào Chủ nhật và được xác định không phải do cơ sở hạ tầng cốt lõi của Matcha, mà là do SwapNet, một trong những nhà cung cấp thanh khoản được tích hợp vào nền tảng này.
Matcha Meta đã công khai vấn đề này trong một bài đăng trên X, cho biết những người dùng đã vô hiệu hóa tính năng "Phê duyệt một lần" và thay vào đó cấp trực tiếp Token cho từng hợp đồng tổng hợp riêng lẻ có thể đã bị ảnh hưởng.
Giao thức này kêu gọi người dùng bị ảnh hưởng ngay lập tức thu hồi các phê duyệt liên quan đến hợp đồng bộ định tuyến của SwapNet, cảnh báo rằng nếu không làm vậy, ví điện tử có thể dễ bị tổn thương trước các giao dịch chuyển tiền trái phép khác.
17 triệu đô la biến mất trong vài giây: Tin tặc Matcha đã đánh cắp tiền trên Ethereum như thế nào?
Các công ty bảo mật blockchain nhanh chóng bắt đầu theo dõi lỗ hổng này khi tiền được chuyển on-chain.
PeckShield báo cáo rằng tổng số tiền bị rút ruột ước tính khoảng 16,8 triệu đô la, trong đó kẻ tấn công đã đổi khoảng 10,5 triệu đô la USDC lấy khoảng 3.655 ETH trên mạng Base trước khi bắt đầu chuyển tài sản sang Ethereum.
CertiK đã độc lập gắn cờ các giao dịch đáng ngờ, xác định một ví đã rút khoảng 13,3 triệu USDC trên Base và chuyển đổi số tiền này thành Ether đóng gói.
Cả hai công ty đều chỉ ra một lỗ hổng trong hợp đồng SwapNet cho phép thực hiện các lệnh gọi tùy ý, tạo điều kiện cho kẻ tấn công chuyển các token mà người dùng đã phê duyệt trước đó.
Sau đó, Matcha đã làm rõ rằng sự cố này không liên quan đến các hợp đồng AllowanceHolder hoặc Settler của 0x, vốn là nền tảng của hệ thống Phê duyệt một lần của họ.
Nhóm nghiên cứu lưu ý rằng những người dùng tương tác với Matcha bằng hình thức phê duyệt một lần không bị ảnh hưởng, vì thiết kế này giới hạn mức độ truy cập mà bên thứ ba có thể nắm giữ.
Nhóm nghiên cứu cho biết, việc rò rỉ thông tin chỉ áp dụng cho những người dùng đã từ chối hệ thống đó và cấp quyền truy cập liên tục trực tiếp cho các hợp đồng của bên trung gian. Để đối phó, Matcha đã loại bỏ tùy chọn cho phép người dùng thiết lập các phê duyệt trực tiếp như vậy trong tương lai.
Các phê duyệt Token cũ nổi lên như một điểm yếu dai dẳng DeFi.
Vụ vi phạm này làm nổi bật một mâu thuẫn thường xuyên xảy ra trong DeFi giữa tính linh hoạt và tính an toàn. Việc phê duyệt Token , dù cần thiết để tương tác với hợp đồng thông minh, từ lâu đã là một điểm yếu, đặc biệt khi các quyền vẫn còn hiệu lực rất lâu sau khi giao dịch hoàn tất.
Trong trường hợp này, các quyền được cấp trước đó đã trở thành con đường dẫn đến việc khai thác lỗ hổng một khi hợp đồng SwapNet bị xâm phạm.
Vụ việc xảy ra trong bối cảnh những lo ngại về tính bảo mật của hợp đồng thông minh trong toàn bộ lĩnh vực tiền điện tử vẫn tiếp diễn.
Báo cáo cuối năm của SlowMist cho thấy các lỗ hổng trong hợp đồng thông minh chiếm hơn 30% các vụ tấn công mạng trong năm 2025, trở thành nguyên nhân hàng đầu gây ra thiệt hại.
Các nhà nghiên cứu cũng cảnh báo rằng những tiến bộ trong trí tuệ nhân tạo đang đẩy nhanh tốc độ mà tin tặc có thể xác định và khai thác các điểm yếu trong mã on-chain .
Mặc dù tổng thiệt hại trên thị trường tiền điện tử đã giảm trong tháng 12 , giảm khoảng 60% so với tháng trước xuống còn khoảng 76 triệu đô la, các công ty bảo mật cảnh báo rằng sự sụt giảm này không phản ánh sự cải thiện về mặt cấu trúc.
PeckShield lưu ý rằng một vụ lừa đảo đánh cắp địa chỉ duy nhất đã gây thiệt hại 50 triệu đô la trong tháng 12, cho thấy các sự cố riêng lẻ có thể gây ra hậu quả nghiêm trọng và tập trung như thế nào ngay cả trong những thời kỳ yên tĩnh hơn.
Tháng Giêng đã chứng kiến một số vụ tấn công đáng chú ý. IPOR Labs xác nhận vụ tấn công trị giá 336.000 đô la vào kho USDC Fusion Optimizer của họ trên Arbitrum, trong khi Truebit tiết lộ một sự cố hợp đồng thông minh mà các nhà phân tích on-chain tính đã làm thất thoát hơn 8.500 ETH, gây ra sự sụp đổ gần như hoàn toàn về giá Token của dự án.
Tuần trước, mạng lưới Layer-1 Saga đã tạm dừng hoạt động chuỗi SagaEVM sau khi một lỗ hổng bảo mật đã chuyển gần 7 triệu đô la tài sản sang Ethereum.
