- 广告 -* * * * * 去中心化交易所聚合器 Matcha Meta 已确认一起与其 SwapNet 集成相关的安全事件,预计造成 16.8 million 美元损失。该漏洞最初由区块链安全公司 PeckShield 发现,随后由 CertiK 提供了进一步的技术分析。### 出了什么问题据安全研究人员分享的调查结果显示,该漏洞特意影响了那些已禁用 Matcha Meta 的“一次性授权(One-Time Approval)”功能的用户。通过选择退出,这些用户将持续权限直接授予了 SwapNet 路由合约,从而形成了后来被滥用的攻击面。> #PeckShieldAlert Matcha Meta 已报告一起涉及 SwapNet 的安全漏洞。选择退出“一次性授权(One-Time Approvals)”的用户存在风险。> > 迄今,价值约 ~$16.8M 的加密资产已被抽走。> > 在 #Base 上,攻击者将 ~10.5M $USDC 兑换为 ~3,655 $ETH,并已开始将资金桥接到… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF> > — PeckShieldAlert (@PeckShieldAlert) 2026 年 1 月 26 日CertiK 将根本原因认定为 SwapNet 合约中的“任意调用(arbitrary call)”漏洞。该缺陷使攻击者能够从先前已批准路由器的、相关钱包中发起未授权的转账,从而实质性绕过正常的安全防护。### 资金流动与影响范围链上活动显示,攻击者在 Base 上将约 10.5 million 美元的 USDC 兑换为约 3,655 ETH,然后再将资产桥接到以太坊。跨链资金流动似乎旨在使追踪与恢复工作更加复杂。重要的是,该事件并未影响所有 Matcha 用户。暴露范围仅限于那些已手动禁用一次性授权并授予 SwapNet 合约直接权限的钱包。 ### 比特币在 100,000 美元投资投票中胜过黄金和白银 ### 应急响应措施为应对此次漏洞,Matcha Meta 已采取若干紧急措施:* 已暂停 SwapNet 合约,以防止进一步损失。* 已敦促用户撤销现有授权,尤其是针对 SwapNet 路由合约 (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e)。* 平台已移除禁用一次性授权的选项,旨在降低未来类似风险。该事件凸显了与持续合约授权相关的安全权衡,并强化了定期审查权限的重要性,尤其是在与聚合器和路由合约交互时。
DEX 聚合器在绕过授权后遭遇价值 1680 万美元的 SwapNet 利用攻击
去中心化交易所聚合器 Matcha Meta 已确认一起与其 SwapNet 集成相关的安全事件,预计造成 16.8 million 美元损失。
该漏洞最初由区块链安全公司 PeckShield 发现,随后由 CertiK 提供了进一步的技术分析。
出了什么问题
据安全研究人员分享的调查结果显示,该漏洞特意影响了那些已禁用 Matcha Meta 的“一次性授权(One-Time Approval)”功能的用户。通过选择退出,这些用户将持续权限直接授予了 SwapNet 路由合约,从而形成了后来被滥用的攻击面。
CertiK 将根本原因认定为 SwapNet 合约中的“任意调用(arbitrary call)”漏洞。该缺陷使攻击者能够从先前已批准路由器的、相关钱包中发起未授权的转账,从而实质性绕过正常的安全防护。
资金流动与影响范围
链上活动显示,攻击者在 Base 上将约 10.5 million 美元的 USDC 兑换为约 3,655 ETH,然后再将资产桥接到以太坊。跨链资金流动似乎旨在使追踪与恢复工作更加复杂。
重要的是,该事件并未影响所有 Matcha 用户。暴露范围仅限于那些已手动禁用一次性授权并授予 SwapNet 合约直接权限的钱包。
应急响应措施
为应对此次漏洞,Matcha Meta 已采取若干紧急措施:
(0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e)。
该事件凸显了与持续合约授权相关的安全权衡,并强化了定期审查权限的重要性,尤其是在与聚合器和路由合约交互时。