DEX 聚合器在绕过授权后遭遇价值 1680 万美元的 SwapNet 利用攻击

• 广告 -

去中心化交易所聚合器 Matcha Meta 已确认一起与其 SwapNet 集成相关的安全事件，导致估计损失 16.8 million 美元。

该漏洞最初由区块链安全公司 PeckShield 发出警报，随后由 CertiK 提供了进一步的技术分析。

出了什么问题

根据安全研究人员分享的调查结果，该漏洞的影响范围具体指向那些已关闭 Matcha Meta “One-Time Approval（一上一次性授权）”功能的用户。通过选择退出，这些用户将持久性权限直接授予 SwapNet 路由器合约，从而形成了后来被滥用的攻击面。

#PeckShieldAlert Matcha Meta 已报告一起涉及 SwapNet 的安全漏洞。选择退出“一次性授权（One-Time Approvals）”的用户存在风险。

目前，约价值 ~$16.8M 的加密货币已被掏空/转走。

在 #Base 上，攻击者将约 ~10.5M $USDC 兑换为约 ~3,655 $ETH，并已开始将资金桥接到… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 2026 年 1 月 26 日

CertiK 认为根本原因是 SwapNet 合约中的“任意调用（arbitrary call）”漏洞。该缺陷使攻击者能够从先前已批准路由器的钱包发起未经授权的转账，实质上绕过了正常的安全防护措施。

资金流动与影响范围

链上活动显示，攻击者在 Base 上将约 1,050 万美元（$10.5 million）的 USDC 兑换为约 3,655 ETH，然后再将资产桥接到以太坊。跨链转移似乎是为了增加追踪与追回工作的难度。

需要强调的是，此次事件并未影响所有 Matcha 用户。暴露范围仅限于那些手动禁用了“一次性授权”，并直接向 SwapNet 合约授予权限的钱包。

                在 100,000 美元投资投票中，比特币胜过黄金与白银

紧急响应措施

为应对该漏洞被利用事件，Matcha Meta 已采取多项立即措施：

• 已暂停 SwapNet 合约，以防止进一步损失。
• 已敦促用户撤销现有授权，尤其是 SwapNet 路由器合约
  （0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e）。
• 平台已移除禁用一次性授权的选项，旨在降低未来类似风险。

该事件凸显了与合约持久授权相关的安全权衡，并强调在与聚合器以及路由合约交互时，定期审查权限的重要性。