與SwapNet相關的安全漏洞導致約1680萬美元的損失,影響了通過Matcha Meta進行交互的用戶。此次事件主要影響那些關閉一次性授權的用戶,暴露出持久的代幣權限問題。
區塊鏈安全公司PeckShieldAlert識別了該漏洞並追蹤了初始資金流向。攻擊者針對了保留無限授權的SwapNet路由器合約,這些合約來自受影響用戶的錢包。
在Base網絡上,攻擊者將約1050萬美元的USDC兌換成約3,655個ETH。隨後,攻擊者開始將轉換後的資產橋接到以太坊主網,以增加追蹤難度。
SwapNet作為一個流動性路由器,被Matcha Meta用來獲取定價和深度流動性。此次漏洞涉及濫用現有授權,而非破解私鑰或核心基礎設施。
由0x團隊打造的Matcha Meta確認了此問題,並立即停用了受影響的SwapNet合約。平台也移除了允許用戶直接授權第三方聚合器的選項。
進一步分析顯示,此次漏洞源於SwapNet合約中的任意調用漏洞。該缺陷允許攻擊者在未請求新權限的情況下轉移已授權的代幣。
安全公司BlockSec報告稱,多個跨鏈合約遭受損失,總額超過1700萬美元。受影響的網絡包括以太坊、Arbitrum、Base和BNB Chain,擴大了事件的範圍。
另外,CertiK估計,相關活動中被盜的USDC資金接近1330萬美元。
部分涉事合約在部署時仍為閉源且未經驗證。
Matcha Meta後來確認,0x核心合約未受到此次事件影響。
依賴0x基礎設施進行一次性授權的用戶未受到影響。
此事件重新引發了對去中心化金融中持久代幣授權的關注。
無限權限雖然提供便利,但在智能合約失效時也增加了風險。
同時,鏈上調查員ZachXBT批評Circle延遲凍結剩餘USDC的行動。據報導,約有300萬美元仍存於有資格凍結的地址中。
此次漏洞事件是2026年初DeFi安全失誤不斷增加的又一例。行業數據顯示,近年來被盜的加密資金達到歷史新高,對協議安全措施形成更大壓力。
| 免責聲明:本網站提供的資訊僅作為一般市場評論,不構成投資建議。我們鼓勵您在投資前自行進行研究。 |
