DEX 聚合器在绕过授权后遭遇价值 1680 万美元的 SwapNet 利用攻击

• 广告 -

去中心化交易聚合器 Matcha Meta 确认与其 SwapNet 集成相关的安全事件，导致预计损失达 1680 万美元。

该漏洞最初由区块链安全公司 PeckShield 发现，随后 CertiK 提供了进一步的技术分析。

出了什么问题

根据安全研究人员分享的结果，该漏洞特别影响了禁用 Matcha Meta 的“一次性授权”功能的用户。通过选择退出，这些用户直接向 SwapNet 路由器合约授予了持久权限，从而创建了一个后续被利用的攻击面。

#PeckShieldAlert Matcha Meta 报告了涉及 SwapNet 的安全漏洞。选择退出“一次性授权”的用户面临风险。

到目前为止，约有 1680 万美元的加密货币被提取。

在 #Base 上，攻击者将约 1050 万美元的 $USDC 兑换为约 3655 个 $ETH，并开始将资金桥接到… pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 2026年1月26日

CertiK 确定根本原因是 SwapNet 合约中的“任意调用”漏洞。该缺陷允许攻击者从先前批准路由器的钱包中发起未经授权的转账，有效绕过正常的安全保障。

资金流动与范围

链上活动显示，攻击者在 Base 上将约 1050 万美元的 USDC 兑换为约 3655 ETH，然后将资产桥接到以太坊。跨链转移似乎旨在使追踪和恢复工作复杂化。

重要的是，该事件并未影响所有 Matcha 用户。暴露仅限于手动禁用一次性授权并向 SwapNet 合约授予直接权限的钱包。

                比特币在 100,000 美元投资调查中超越黄金和白银

应急响应措施

针对该漏洞，Matcha Meta 已采取几项立即措施：

• 已暂停 SwapNet 合约以防止进一步损失。
• 用户被敦促撤销现有授权，特别是针对 SwapNet 路由器合约
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e)。
• 平台已移除禁用一次性授权的选项，旨在减少未来类似风险。

该事件突显了持久合约授权所涉及的安全权衡，并强化了定期权限审查的重要性，尤其是在与聚合器和路由合约交互时。