与SwapNet相关的安全漏洞导致约1680万美元的损失,影响了通过Matcha Meta进行交互的用户。此次事件主要影响了禁用一次性授权的用户,从而暴露了持续的代币权限问题。
区块链安全公司PeckShieldAlert识别了该漏洞并追踪了资金的最初流向。攻击者针对的是保留无限授权的SwapNet路由合约,这些合约来自受影响用户的钱包。
在Base网络上,攻击者用大约1050万美元的USDC兑换了大约3655个以太币。随后,攻击者开始将兑换的资产桥接到以太坊主网,以增加追踪难度。
SwapNet作为流动性路由器,为Matcha Meta提供价格信息和深度流动性。此次漏洞涉及滥用现有授权,而非破解私钥或核心基础设施。
由0x团队开发的Matcha Meta确认了该问题,并立即禁用了受影响的SwapNet合约。平台还移除了允许用户直接授权第三方聚合器的选项。
进一步分析表明,此次漏洞源于SwapNet合约中的任意调用漏洞。该缺陷允许攻击者在未请求新权限的情况下转移已获授权的代币。
安全公司BlockSec报告称,跨链的多个合约遭受损失,损失总额超过1700万美元。受影响的网络包括以太坊、Arbitrum、Base和BNB链,扩大了事件的影响范围。
另外,CertiK估算相关活动中被盗的USDC资金接近1330万美元。
部分涉事合约在部署时仍为闭源且未经过验证。
Matcha Meta随后确认,0x核心合约未受到此次事件影响。
依赖0x基础设施进行一次性授权的用户未受到影响。
此次事件再次引发对去中心化金融中持续授权问题的关注。
无限权限虽然带来便利,但在智能合约失败时也会增加风险。
与此同时,链上调查员ZachXBT批评Circle在冻结剩余USDC方面反应迟缓。据报道,约有300万美元的USDC仍存放在有冻结权限的地址中,等待响应。
此次漏洞事件为2026年初一系列DeFi安全失误增添了新篇章。行业数据显示,近年来被盗的加密资金达到历史新高,给协议安全实践带来了更大压力。
| 免责声明:本网站提供的信息仅为一般市场评论,不构成投资建议。我们鼓励您在投资前自行进行研究。 |
