DEX 聚合器在绕过批准后遭遇价值 1680 万美元的 SwapNet 利用攻击

• 广告 -

去中心化交易聚合器Matcha Meta已确认一起与其SwapNet集成相关的安全事件，导致估计损失1680万美元。

此次漏洞最早由区块链安全公司PeckShield发出警报，随后CertiK提供了进一步的技术分析。

出了什么问题

根据安全研究人员分享的调查结果，漏洞特别影响了那些已禁用Matcha Meta的“单次授权”功能的用户。通过选择退出，这些用户直接授予了SwapNet路由合约持续权限，形成了后来被利用的攻击面。

#PeckShieldAlert Matcha Meta报告了一起涉及SwapNet的安全漏洞。选择退出“单次授权”的用户面临风险。

到目前为止，约1680万美元的加密资产已被转移。

在#Base链上，攻击者将约1050万美元的USDC兑换成约3655个ETH，并开始将资金桥接到…https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert $USDC @PeckShieldAlert$ETH 2026年1月26日

CertiK确认根本原因是SwapNet合约中的“任意调用”漏洞。该缺陷允许攻击者发起未授权的转账，从之前已批准路由器的钱包中转出资金，有效绕过了正常的安全措施。

( 资金流动与影响范围

链上活动显示，攻击者在Base链上用USDC兑换了约1050万美元的ETH，然后将资产桥接到以太坊。跨链操作似乎旨在增加追踪和追缴的难度。

值得注意的是，此次事件并未影响所有Matcha用户。受影响的仅限于那些手动禁用单次授权并直接授予SwapNet合约权限的钱包。

) 比特币在80亿美元投资投票中超越黄金和白银

紧急应对措施

针对此次漏洞，Matcha Meta已采取多项紧急措施：

• 暂停了SwapNet合约，以防止进一步损失。
• 已敦促用户撤销现有授权，特别是对SwapNet路由合约###0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e###的授权。
• 平台已取消禁用单次授权的选项，旨在减少未来类似风险。

此次事件凸显了持续合约授权带来的安全权衡，也强调了定期权限审查的重要性，尤其是在与聚合器和路由合约交互时。