SwapNet 漏洞在 Matcha Meta 的批准缺陷後導致損失 1680 萬美元

簡要概述

• SwapNet 漏洞導致損失約1680萬美元，原因是用戶關閉了一次性授權保護措施。
• 攻擊者在橋接到以太坊之前，將1050萬美元的USDC兌換成Base上的ETH。
• Matcha Meta在安全公司標記出更廣泛的DeFi風險後，已停用受影響的合約。

與SwapNet相關的安全漏洞導致約1680萬美元的損失，影響了通過Matcha Meta進行交互的用戶。此次事件主要影響那些關閉一次性授權的用戶，暴露出持久的代幣權限問題。

區塊鏈安全公司PeckShieldAlert識別了該漏洞並追蹤了初始資金流向。攻擊者針對了保留無限授權的SwapNet路由器合約，這些合約來自受影響用戶的錢包。

在Base網絡上，攻擊者將約1050萬美元的USDC兌換成約3,655個ETH。隨後，攻擊者開始將轉換後的資產橋接到以太坊主網，以增加追蹤難度。

SwapNet作為一個流動性路由器，被Matcha Meta用來獲取定價和深度流動性。此次漏洞涉及濫用現有授權，而非破解私鑰或核心基礎設施。

由0x團隊打造的Matcha Meta確認了此問題，並立即停用了受影響的SwapNet合約。平台也移除了允許用戶直接授權第三方聚合器的選項。

安全公司標記更廣泛風險，調查範圍擴大

進一步分析顯示，此次漏洞源於SwapNet合約中的任意調用漏洞。該缺陷允許攻擊者在未請求新權限的情況下轉移已授權的代幣。

安全公司BlockSec報告稱，多個跨鏈合約遭受損失，總額超過1700萬美元。受影響的網絡包括以太坊、Arbitrum、Base和BNB Chain，擴大了事件的範圍。

另外，CertiK估計，相關活動中被盜的USDC資金接近1330萬美元。
部分涉事合約在部署時仍為閉源且未經驗證。

Matcha Meta後來確認，0x核心合約未受到此次事件影響。
依賴0x基礎設施進行一次性授權的用戶未受到影響。

此事件重新引發了對去中心化金融中持久代幣授權的關注。
無限權限雖然提供便利，但在智能合約失效時也增加了風險。

同時，鏈上調查員ZachXBT批評Circle延遲凍結剩餘USDC的行動。據報導，約有300萬美元仍存於有資格凍結的地址中。

此次漏洞事件是2026年初DeFi安全失誤不斷增加的又一例。行業數據顯示，近年來被盜的加密資金達到歷史新高，對協議安全措施形成更大壓力。