与去中心化交易聚合器 Matcha Meta 相关的安全漏洞导致约 1680 万美元的加密资产被盗,这使得智能合约漏洞的清单不断增加,持续考验着 DeFi 用户的安全假设。
该事件发生在周日,事发原因并非 Matcha 的核心基础设施,而是 SwapNet,它是集成到该平台的流动性提供商之一。
Matcha Meta 在 X 论坛上发帖公开披露了该问题,称禁用其“一次性批准”功能并直接向各个聚合合约授予代币配额的用户可能已经面临风险。
该协议敦促受影响的用户立即撤销与 SwapNet 路由器合约相关的授权,并警告说,如果不这样做,钱包可能会容易受到进一步未经授权的转账。
1700万美元瞬间消失:抹茶黑客如何将资金转移到以太坊
随着资金在链上转移,区块链安全公司迅速开始追踪这一漏洞。
PeckShield报告称,总共损失了约 1680 万美元,攻击者在 Base 网络上用价值约 1050 万美元的USDC兑换了约 3655 个ETH,然后开始将资产桥接到以太坊。
CertiK 独立标记了可疑交易,发现一个钱包从 Base 上窃取了约 1330 万美元的USDC ,并将资金转换为包装的以太币。
两家公司都指出 SwapNet 合约中存在漏洞,允许任意调用,使攻击者能够转移用户先前已批准的代币。
Matcha 后来澄清说,该事件与 0x 的 AllowanceHolder 或 Settler 合约无关,而这些合约是其一次性审批系统的基础。
该团队指出,使用一次性授权与 Matcha 互动的用户不受影响,因为这种设计限制了第三方合同可以保留的访问权限。
该团队表示,此次风险暴露仅适用于选择退出该系统并直接向聚合商合同授予持续授权的用户。作为回应,Matcha 已取消用户今后设置此类直接授权的选项。
旧代币审批机制凸显为 DeFi 的持续弱点
此次安全漏洞凸显了去中心化金融(DeFi)领域灵活性与安全性之间长期存在的矛盾。代币授权虽然是与智能合约交互的必要条件,但长期以来一直是其薄弱环节,尤其是在交易完成后授权仍然有效的情况下。
在这种情况下,一旦 SwapNet 合约遭到破坏,先前授予的权限就成了攻击的途径。
此次事件发生之际,加密货币领域对智能合约安全性的担忧仍在持续。
SlowMist 的年终报告显示,到 2025 年,智能合约漏洞将占加密货币攻击的 30% 以上,成为造成损失的主要原因。
研究人员还警告说, 人工智能的进步正在加快攻击者识别和利用链上代码漏洞的速度。
尽管12 月份加密货币整体损失有所下降,环比下降约 60% 至约 7600 万美元,但安全公司警告称,这一降幅并未反映出结构性改善。
PeckShield 指出,12 月份仅一起地址造假诈骗案就造成了 5000 万美元的损失,这表明即使在较为平静的时期,个别案件的集中性和严重性也不容忽视。
1月份已经发生了几起引人注目的攻击事件。IPOR Labs证实,其在Arbitrum上的USDC Fusion Optimizer金库遭到了价值33.6万美元的攻击;与此同时, Truebit披露了一起智能合约事件,链上分析师估计该事件导致超过8500个ETH被盗,并引发了该项目代币价格的近乎崩盘。
上周, Layer-1 网络 Saga 在一次漏洞利用导致近 700 万美元资产转移到以太坊后,暂停了其 SagaEVM 链。
