- 廣告 -* * * * * 去中心化交易所聚合器 Matcha Meta 已證實,與其 SwapNet 整合相關的安全事件已造成估計約 16.8 百萬美元損失。該漏洞最初由區塊鏈安全公司 PeckShield 發現,後續的技術分析則由 CertiK 提供。### 發生了什麼錯誤根據安全研究人員分享的調查結果,該利用程式特別影響了停用 Matcha Meta「一次性授權」(One-Time Approval)功能的使用者。透過選擇退出,這些使用者將持久性權限直接授予 SwapNet 路由器合約,因而形成後來被濫用的攻擊面。> #PeckShieldAlert Matcha Meta 已報告一項與 SwapNet 相關的安全漏洞。已退出「一次性授權」(One-Time Approvals)的用戶面臨風險。> > 截至目前,價值約 ~$16.8M 的加密資產已被掏空。> > 在 #Base 上,攻擊者將約 ~10.5M $USDC 交換成約 ~3,655 $ETH,並已開始向… https://t.co/QOyV4IU3P3 進行跨鏈資金轉移 pic.twitter.com/6OOJd9cvyF> > — PeckShieldAlert (@PeckShieldAlert) 2026 年 1 月 26 日CertiK 認定根本原因是 SwapNet 合約中的「任意呼叫」(arbitrary call)漏洞。此缺陷使攻擊者能夠從先前已授權路由器的錢包發起未經授權的轉帳,從而實際繞過正常的防護措施。### 資金移動與影響範圍鏈上活動顯示,攻擊者在 Base 上將約 1,050 萬美元(約 $10.5 million)的 USDC 換成約 3,655 枚 ETH,隨後再將資產橋接至以太坊。跨鏈資金流動似乎旨在增加追蹤與資金追回的難度。重要的是,這起事件並未影響所有 Matcha 使用者。暴露範圍僅限於那些已手動停用一次性授權、並向 SwapNet 合約授予直接權限的錢包。 ### 比特幣在 10 萬美元投資民調中勝過黃金與白銀 ### 緊急應對措施針對此次漏洞利用,Matcha Meta 已採取多項即時行動:* 已暫停 SwapNet 合約,以防止進一步損失。* 已敦促使用者撤銷既有授權,特別是針對 SwapNet 路由器合約 (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e)。* 平台已移除停用一次性授權的選項,目標是降低未來類似風險。此次事件凸顯了與持久性合約授權相關的安全權衡,並強調在與聚合器及路由合約互動時,定期進行權限檢視的重要性。
DEX 聚合器在繞過批准後遭遇價值 1680 萬美元的 SwapNet 漏洞攻擊
去中心化交易所聚合器 Matcha Meta 已證實,與其 SwapNet 整合相關的安全事件已造成估計約 16.8 百萬美元損失。
該漏洞最初由區塊鏈安全公司 PeckShield 發現,後續的技術分析則由 CertiK 提供。
發生了什麼錯誤
根據安全研究人員分享的調查結果,該利用程式特別影響了停用 Matcha Meta「一次性授權」(One-Time Approval)功能的使用者。透過選擇退出,這些使用者將持久性權限直接授予 SwapNet 路由器合約,因而形成後來被濫用的攻擊面。
CertiK 認定根本原因是 SwapNet 合約中的「任意呼叫」(arbitrary call)漏洞。此缺陷使攻擊者能夠從先前已授權路由器的錢包發起未經授權的轉帳,從而實際繞過正常的防護措施。
資金移動與影響範圍
鏈上活動顯示,攻擊者在 Base 上將約 1,050 萬美元(約 $10.5 million)的 USDC 換成約 3,655 枚 ETH,隨後再將資產橋接至以太坊。跨鏈資金流動似乎旨在增加追蹤與資金追回的難度。
重要的是,這起事件並未影響所有 Matcha 使用者。暴露範圍僅限於那些已手動停用一次性授權、並向 SwapNet 合約授予直接權限的錢包。
緊急應對措施
針對此次漏洞利用,Matcha Meta 已採取多項即時行動:
(0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e)。
此次事件凸顯了與持久性合約授權相關的安全權衡,並強調在與聚合器及路由合約互動時,定期進行權限檢視的重要性。