DEX 聚合器在绕过授权后遭遇价值 1680 万美元的 SwapNet 利用攻击

• 广告 -

去中心化交易所聚合器 Matcha Meta 已证实， 其 SwapNet 集成相关联的一起安全事件已经发生，预计造成约 1680 万美元损失。

该漏洞最初由区块链安全公司 PeckShield 提出警报，随后由 CertiK 提供了进一步的技术分析。

出了什么问题

根据安全研究人员分享的调查结果，该漏洞具体影响了那些已禁用 Matcha Meta“ 一次性授权（One-Time Approval） ”功能的用户。通过选择退出（opt out），这些用户向 SwapNet 路由合约授予了持续权限，从而形成了后来被滥用的攻击面。

#PeckShieldAlert Matcha Meta 已报告一处涉及 SwapNet 的安全漏洞。选择退出“ 一次性授权（One-Time Approvals） ”的用户存在风险。

目前，约 1680 万美元（~$16.8M） 的加密资产已被掏空。

在 #Base 上，攻击者将约 1050 万 $USDC 换成约 3655 $ETH，并已开始将资金桥接至…… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 2026 年 1 月 26 日

CertiK 将根本原因认定为 SwapNet 合约中的“任意调用（arbitrary call）”漏洞。该缺陷使攻击者能够从先前已批准路由器的钱包发起未经授权的转账，从而实质性绕过正常的保护措施。

资金流动与影响范围

链上活动显示，攻击者在 Base 上将大约 1050 万美元的 USDC 换成约 3655 ETH，随后将这些资产桥接至以太坊。跨链转移似乎旨在增加追踪与追回工作的难度。

重要的是，该事件并未影响所有 Matcha 用户。暴露仅限于那些手动禁用一次性授权并向 SwapNet 合约授予直接权限的钱包。

                在 80亿美元投资投票中，Bitcoin 超过黄金与白银

应急响应措施

为应对该漏洞利用，Matcha Meta 已采取若干立即步骤：

• 已暂停 SwapNet 合约，以防止进一步损失。
• 已敦促用户撤销现有授权，尤其是针对 SwapNet 路由器合约
  （0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e）。
• 平台已移除禁用一次性授权的选项，旨在降低未来类似风险。

该事件凸显了与持续合约授权相关的安全权衡，并强化了在与聚合器和路由合约交互时定期进行权限审查的重要性。