Matcha Meta 遭遇 1,680 萬美元 SwapNet 智能合約駭客攻擊

簡介
週日,Matcha Meta 披露其主要流動性提供者之一 SwapNet 發生安全漏洞,對授權給 SwapNet 路由合約的用戶造成影響。該事件凸顯了即使核心基礎設施保持完整,去中心化交易所生態系統中的許可組件如何成為攻擊載體。早期公開評估顯示損失約在 1,300 萬美元至 1,700 萬美元之間,鏈上活動集中在 Base 網絡及向 Ethereum 的跨鏈轉移。該披露促使用戶撤銷授權,並加強了對暴露於外部路由器的智能合約如何受到保護的審查。

關鍵要點

• 漏洞源自 SwapNet 的路由合約,促使緊急呼籲用戶撤銷授權以防止進一步損失。
• 被盜資金的估計有所不同:CertiK 報告約 1,330 萬美元,而 PeckShield 統計 Base 網絡上至少 1,680 萬美元。
• 在 Base 上,攻擊者將約 1,050 萬 USDC 兌換成約 3,655 ETH,並開始將資金橋接到 Ethereum。
• CertiK 將漏洞歸因於 0xswapnet 合約中的任意調用,允許攻擊者轉移已授權給它的資金。
• Matcha Meta 表示漏洞與 SwapNet 有關,而非其自身基礎設施,官方尚未提供有關補償或保障措施的細節。
• 根據 SlowMist 的年度安全報告,智能合約弱點仍是加密貨幣漏洞的主要驅動因素,佔 2025 年事件的 30.5%。

提及代幣

提及代幣: Crypto → USDC、ETH、TRU

情緒

情緒: 中性

價格影響

價格影響: 負面。該漏洞凸顯了 DeFi 持續存在的安全風險,可能影響圍繞負責任的流動性提供和授權管理的風險情緒。

交易想法(非財務建議)

交易想法(非財務建議): 持有。該事件特定於路由器授權路徑,並不直接意味著所有 DeFi 協議存在更廣泛的系統性風險,但需要對授權管理和跨鏈流動性保持謹慎。

市場背景

市場背景: 該事件發生在 DeFi 安全和跨鏈活動受到高度關注的時期,流動性提供者和聚合器越來越依賴模塊化組件。它也處於關於鏈上治理、審計以及藍籌協議和新進入者競爭用戶信任時需要強大保障措施的不斷演進討論的背景下。

為何重要

為何重要

DeFi 聚合器的安全事件說明了多個協議層交互時存在的持續風險面。在本案例中,漏洞歸因於 SwapNet 路由合約的漏洞,而非 Matcha Meta 的核心架構,凸顯了在可組合生態系統中信任如何分佈在合作夥伴組件之間。對於用戶而言,該事件提醒定期審查和撤銷代幣授權,特別是在懷疑異常鏈上活動之後。

雖然財務影響仍在演變中,但強化了嚴格審查外部流動性提供者的重要性以及實時監控授權流的需求。攻擊者能夠將大量被盜資金轉換為穩定幣,然後將資產橋接到 Ethereum 的事實,凸顯了使事件後可追溯性和賠償工作複雜化的跨鏈動態。交易所和安全研究人員強調細粒度、有時間限制的權限範圍以及早期撤銷能力的價值,以限制此類漏洞的影響範圍。

從市場角度來看,該事件增加了關於無許可金融脆弱性以及在 DeFi 生態系統各層實施強大、可審計保障措施的持續競賽的更廣泛敘事。雖然不是對 Matcha Meta 的系統性指控,但該事件加強了對路由合約標準化安全審計以及與用戶資金交互的第三方模塊更明確問責制的呼籲。

下一步觀察

下一步觀察

• Matcha Meta 關於根本原因以及受影響用戶的任何補救或補償計劃的官方更新。
• SwapNet 路由合約的任何外部審計或第三方審查以及防止再次發生的治理變更。
• 與本事件相關的 Base 到 Ethereum 橋接活動以及後續資金流動的鏈上監控。
• 圍繞 DeFi 安全的監管和行業標準發展,特別是智能合約審計框架和用戶授權控制。

來源與驗證

• Matcha Meta 在 X 上的帖文,警告用戶在漏洞發生後撤銷 SwapNet 授權。
• CertiK 的諮詢確定該漏洞源自 0xswapnet 合約中的任意調用,允許轉移已授權資金。
• PeckShield 的更新指出 Base 上約 1,680 萬美元被抽走,包括將 USDC 兌換成 ETH 並橋接到 Ethereum。
• SlowMist 的 2025 年區塊鏈安全和 AML 年度報告詳細說明了按類別劃分的事件份額,包括 30.5% 歸因於智能合約漏洞,24% 歸因於帳戶洩露。
• Cointelegraph 對 Truebit 事件的報導,包括 2,600 萬美元的損失和 TRU 代幣的下跌,為智能合約風險暴露提供更廣泛的背景。

改寫文章內容

Matcha Meta 安全漏洞凸顯 DEX 生態系統中的智能合約風險

在 DeFi 如何從內部受到損害的最新案例中,Matcha Meta 披露通過其主要流動性提供途徑之一——SwapNet 的路由合約發生了安全漏洞。面向用戶的後果是撤銷代幣授權,該協議在其公開帖文中明確敦促這樣做。該公司表示,漏洞似乎並非源自 Matcha Meta 的核心基礎設施,而是源自合作夥伴路由層的漏洞,該漏洞授予了代表用戶移動資金的權限。

安全研究人員的早期估計將財務影響置於一個緊密的範圍內。CertiK 量化損失約為 1,330 萬美元,而 PeckShield 報告 Base 網絡上的最低數字為 1,680 萬美元。這種差異反映了不同的鏈上會計方法和事件後審查的時間安排,但兩項分析都證實了與 SwapNet 路由功能相關的重大損失。根據 PeckShield 發佈到 X 的公告,在 Base 上,攻擊者據報導將約 1,050 萬 USDC(CRYPTO:USDC)兌換成約 3,655 ETH(CRYPTO:ETH),並開始將收益橋接到 Ethereum。

CertiK 的評估為該漏洞提供了技術解釋:0xswapnet 合約中的任意調用使攻擊者能夠提取用戶已授權的資金,有效地繞過了直接從 SwapNet 流動性池盜竊,而是利用了授予路由器的權限。這種區別很重要,因為它指向整合層的治理或設計缺陷,而非 Matcha Meta 自身託管或安全控制的漏洞。

Matcha Meta 承認漏洞與 SwapNet 有關,並未將漏洞歸因於其自身基礎設施。試圖獲取有關補償機制或保障措施的評論未能立即得到回應,使受影響的用戶在短期內沒有明確的補救途徑。該事件說明了 DEX 聚合器更廣泛的風險概況:當合作夥伴關係引入新的合約接口時,攻擊者可能針對位於用戶授權和自動資金轉移交叉點的許可流。

加密貨幣的更廣泛安全格局仍然頑固地不穩定。根據 SlowMist 的年度報告,2025 年智能合約漏洞是加密貨幣漏洞的主要原因,佔事件的 30.5% 和總共 56 起事件。這一份額凸顯了即使是複雜的項目也可能被管理自動價值轉移的代碼中的邊緣案例錯誤或配置錯誤絆倒。帳戶洩露和受損的社交帳戶(如受害者的 X 帳號)也佔事件的相當大一部分,凸顯了攻擊者工具包的多載體性質。

除了純粹的技術角度外,該事件還融入了關於在智能合約安全中使用人工智能的日益增長的討論。十二月的報告指出,商用 AI 代理實時發現了價值約 460 萬美元的鏈上漏洞,利用 Claude Opus 4.5、Claude Sonnet 4.5 和 OpenAI 的 GPT-5 等工具。AI 驅動的探測和利用技術的出現為審計師和運營商的風險評估增加了一層複雜性。這種不斷演變的威脅格局強化了 DeFi 生態系統中持續監控、快速撤銷權限和適應性防禦措施的需求。

在 SwapNet 事件發生前兩週,另一個備受矚目的智能合約漏洞導致 Truebit 協議損失 2,600 萬美元,隨後 TRU 代幣(CRYPTO:TRU)出現急劇價格反應。這些事件凸顯了這樣一個事實:即使加密領域的其他領域——託管、集中式基礎設施和鏈下組件——也面臨持續威脅,智能合約層仍然是駭客的主要攻擊面。反覆出現的主題是,風險管理必須擴展到審計和漏洞賞金之外,包括實時治理、即時監控以及圍繞授權和跨鏈移動的謹慎用戶實踐。

隨著市場消化其影響,觀察者強調 DeFi 的韌性之路依賴於分層保障措施和透明的事件響應。雖然 SwapNet 的漏洞似乎僅限於特定的整合,但該事件強化了一個核心教訓:如果可信賴的合作夥伴的合約以繞過標準保障措施的方式與用戶資金交互,即使是可信賴的合作夥伴也可能引入系統性風險。隨著調查人員、Matcha Meta 及其流動性合作夥伴進行取證審查並確定受害者是否將獲得補償或增強風險控制以防止未來類似事件,鏈上記錄將繼續展開。

本文最初以《Matcha Meta 遭 1,680 萬美元 SwapNet 智能合約駭客攻擊》發佈於 Crypto Breaking News——您值得信賴的加密貨幣新聞、Bitcoin 新聞和區塊鏈更新來源。