DEX 聚合器在繞過授權後遭遇 1680 萬美元 SwapNet 攻擊

• 廣告 -

去中心化交易聚合平台 Matcha Meta 已確認與其 SwapNet 整合相關的安全事件，造成約 1680 萬美元的損失。

該漏洞最早由區塊鏈安全公司 PeckShield 發現，隨後由 CertiK 提供進一步的技術分析。

發生了什麼問題

根據安全研究人員分享的調查結果，該漏洞特別影響那些已禁用 Matcha Meta 的「一次性授權」功能的用戶。通過選擇退出，這些用戶直接授予 SwapNet 路由合約持久的許可權，形成了後續被利用的攻擊面。

#PeckShieldAlert Matcha Meta 已報告涉及 SwapNet 的安全漏洞。選擇退出「一次性授權」的用戶面臨風險。

目前，約有 1680 萬美元的加密資產被轉移。

在 #Base 上，攻擊者將約 1050 萬美元的 $USDC 兌換成約 3,655 $ETH ，並開始將資金橋接到… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 2026 年 1 月 26 日

CertiK 確定根本原因是一個「任意調用」漏洞在 SwapNet 合約中。此缺陷允許攻擊者啟動未經授權的轉移，從已批准路由器的錢包中轉出資金，有效繞過了正常的安全措施。

資金流動與範圍

鏈上活動顯示，攻擊者在 Base 上將約 1050 萬美元的 USDC 兌換成約 3,655 ETH，然後將資產橋接到以太坊。跨鏈轉移似乎旨在增加追蹤和追查的難度。

值得注意的是，該事件並未影響所有 Matcha 用戶。受影響的範圍限於那些手動禁用一次性授權並授予 SwapNet 合約直接許可的錢包。

                比特幣在 10 萬美元投資調查中超越黃金與白銀

緊急應對措施

為應對此次漏洞，Matcha Meta 已採取多項緊急措施：

• 暫停 SwapNet 合約，以防止進一步損失。
• 呼籲用戶撤銷現有的授權，特別是對 SwapNet 路由合約 (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e)。
• 平台已移除禁用一次性授權的選項，旨在降低未來類似風險。

此次事件凸顯了持久合約授權所帶來的安全權衡，也強調了定期審查許可權的重要性，尤其是在與聚合器和路由合約交互時。