1月26日消息,链上去中心化交易所聚合器 SwapNet 遭遇重大智能合约攻击,约1680万美元的加密资产被盗,引发 DeFi 安全风险再度成为焦点。区块链安全机构 PeckShield 披露,攻击与通过 Matcha Meta(由 0x 团队开发的元聚合器)调用的 SwapNet 路由合约有关。
攻击发生在 Base 网络上,黑客先将约1050万美元的 USDC 兑换为约3655枚ETH,随后将资金桥接至以太坊主网。这种“跨链转移”手法常被用于拉长追踪路径,增加资金冻结与追回的难度。
Matcha Meta 随后澄清,其核心系统未被入侵,受影响的用户主要是那些关闭了 0x 一次性授权机制的人。该安全功能原本用于限制合约对用户资产的持续访问,但部分用户为了提高交易便利性选择禁用,从而直接授权底层聚合器合约,包括 SwapNet 的路由器。正是这一入口被攻击者利用。
Matcha Meta 表示,已与 SwapNet 团队协同处理,相关合约已被暂时停用,并呼吁用户立即撤销对非一次性授权框架下的所有聚合器授权,尤其是 SwapNet 的路由器合约,以避免进一步风险。
这起事件再次暴露 DeFi 中“便利性与安全性”的长期矛盾。一次性授权虽然增加了操作步骤,却能显著降低持续被盗的可能;而无限授权虽然提升交易效率,却在合约被攻破时放大损失。
与此同时,以太坊主网当天还发生一起与闭源、未经验证合约相关的漏洞事件,约37枚 WBTC 受影响,进一步放大了市场对合约透明度与审计机制的担忧。SwapNet 尚未公布是否赔偿用户,但可以预见,围绕 DEX 聚合器和授权模型的安全审查将在2026年显著加强。
