鏈上去中心化交易所(DEX)聚合平台 SwapNet 遭遇了一起重大的智能合約漏洞,導致近 1680 萬美元的加密資產被掏空。
此事件凸顯了去中心化金融(DeFi)中與代幣核准及第三方路由合約相關的持續安全風險。
鏈上去中心化交易所(DEX)聚合商 SwapNet 遭遇 1680 萬美元的漏洞利用
PeckShield 報告指出,攻擊者針對 Matcha Meta 連結的活動,該活動由 0x 團隊打造的元分析聚合器 Matcha Meta 可取得。
在 Base 網路上,攻擊者以約 1,050 萬美元的 USDC 換取約 3,655 ETH,然後 將資金橋接到 Ethereum,這是常見的策略,用以複雜化追蹤與恢復工作。
Matcha Meta 表示,這種曝光並非來自其核心基礎設施。受影響的用戶是那些選擇退出 0x 一次性批准系統的人,該系統是一項旨在限制持續代幣權限的安全功能。
關閉此選項的用戶直接授權底層聚合商合約,包括 SwapNet 的路由器,後者最終成為攻擊向量。
「我們知道 SwapNet 發生了一起事件,關閉一次性批准的用戶可能在 Matcha Meta 上遭遇過相關事件,」Matcha Meta 在聲明中 表示 。
該平台確認正與 SwapNet 團隊協調,該團隊已暫時停用受影響合約,調查仍在進行中。
作為預防措施,Matcha Meta 呼籲用戶立即撤銷對 0x 一次性批准框架外個別聚合商的批准。
該平台特別指出 SwapNet 的路由器合約(0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e)是最緊急的撤銷批准。若未做到,即使漏洞已被控制,錢包仍可能暴露。
DeFi 的安全取捨:便利與安全,在智能合約漏洞日益增加的情況下
此事件反映出 DeFi 在便利與安全性之間長期存在的權衡。一次性核准要求使用者逐筆核准每一筆交易,減少持續的攻擊面。然而,這也為經常交易的交易者帶來摩擦。
無限核准雖然更快,但讓 智能合約 能持續存取用戶資金。然而,當這些合約被破壞時,這種安排就會變得危險。
SwapNet 尚未公布完整的技術後續報告,也未說明受影響用戶是否會獲得賠償。這也留下了關於問責與復原的疑問。
缺乏即時明確性,可能會加劇 DeFi 生態系統中核准流程與聚合器整合的審視。
另一起以太坊漏洞突顯了未經驗證、封閉源碼合約的風險
此漏洞發生在加密市場中智能合約攻擊與 安全事件更廣泛的趨勢中。
同一天,資安稽核員Pashov標記了一起涉及約37個WBTC的以太坊主網漏洞,價值超過310萬美元。
這與一份41天前部署的封閉原始碼、未經驗證的合約有關。合約僅公布非人類可讀的位元碼,禁止公開審查。
這些事件共同凸顯了 DeFi 攻擊者的豐富土壤。這些包括:
- 未經驗證的程式碼
- 持續核準,以及
- 複雜的路由層。
儘管經過多年審計與安全改進,DeFi 仍持續面臨結構性漏洞。這讓開發者和使用者必須在可用性與風險管理之間取得平衡。
