鏈上去中心化交易所 (DEX) 聚合器 SwapNet 遭遇了一次重大的智能合約漏洞攻擊,導致價值近 1680 萬美元的加密資產被盜。
該事件凸顯了去中心化金融 (DeFi) 中與代幣審批和第三方路由合約相關的持續存在的安全風險。
鏈上去中心化交易所聚合平臺SwapNet遭遇1680萬美元漏洞攻擊
PeckShield 報告稱,攻擊者的目標是通過 Matcha Meta(0x 團隊構建的元 DEX 聚合器)訪問的與 SwapNet 相關的活動。
在 Base 網絡上,攻擊者將價值約 1050 萬美元的USDC兌換成約 3655 個ETH ,然後將資金橋接到以太坊,這是一種常見的策略,旨在使追蹤和恢復工作變得複雜。
Matcha Meta 明確表示,此次安全漏洞並非源於其核心基礎設施。受影響的用戶是那些選擇退出 0x 的一次性授權系統的用戶,該系統是一項旨在限制持續令牌權限的安全功能。
禁用此選項的用戶直接批准了底層聚合器合約,包括 SwapNet 的路由器,這最終成為了攻擊媒介。
“我們注意到SwapNet發生了一起事件,關閉了一次性授權的用戶可能在Matcha Meta上接觸到了該事件,”Matcha Meta在一份聲明中表示。
該平臺證實,它正在與 SwapNet 團隊協調,SwapNet 團隊已暫時禁用受影響的合約,同時調查仍在進行中。
為防萬一,Matcha Meta 敦促用戶立即撤銷對 0x 一次性授權框架之外的各個聚合商的授權。
該平臺將SwapNet的路由器合約(0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e)列為最迫切需要撤銷的授權。如果不撤銷,即使漏洞已被控制,錢包仍可能面臨風險。
DeFi 的安全權衡:在智能合約漏洞日益增多的情況下,便利性與安全性之間需要權衡
此次事件反映了去中心化金融(DeFi)領域長期存在的便利性和安全性之間的權衡。一次性授權機制要求用戶逐筆授權交易,從而減少了持續攻擊面。然而,這也給頻繁交易者帶來了不便。
無限次審批雖然速度更快,但也賦予了智能合約對用戶資金的永久訪問權限。然而,一旦這些合約遭到破壞,這種安排就會變得非常危險。
SwapNet尚未發佈完整的技術事故分析報告,也未表明是否會對受影響用戶進行賠償。這使得責任追究和賠償問題仍然懸而未決。
由於目前情況尚不明朗,可能會加劇人們對整個 DeFi 生態系統中審批流程和聚合器集成的審查。
又一起以太坊漏洞事件凸顯了未經驗證的閉源合約的風險
此次漏洞利用事件發生在加密貨幣市場智能合約攻擊和安全事件頻發的背景下。
同一天,安全審計員帕紹夫發現了一起涉及約 37 個 WBTC 的以太坊主網漏洞,價值超過 310 萬美元。
這與一份閉源、未經核實的合約有關,該合約僅在41天前部署。該合約僅發佈了人類無法閱讀的字節碼,從而阻止了公眾審查。
這些事件共同凸顯了DeFi領域存在大量可供攻擊者利用的溫床。這些溫床包括:
- 未經驗證的代碼
- 持續的批准,以及
- 複雜的路由層。
儘管經過多年的審計和安全改進,DeFi 仍然面臨著結構性漏洞的困擾。這使得開發者和用戶需要在可用性和風險管理之間取得平衡。
