快捷搜索

与去中心化交易聚合器Matcha Meta相关的安全漏洞导致约1680万美元的加密资产被盗，这一事件再次引发了对DeFi用户安全假设的质疑。

事件发生在周日，问题并非源于Matcha的核心基础设施，而是与其平台集成的流动性提供者SwapNet有关。

Matcha Meta在社交媒体上公开披露了此问题，提醒用户如果关闭了“一次性批准”功能，并直接授予单个聚合器合约代币权限，可能会面临风险。

该协议敦促受影响的用户立即撤销与SwapNet路由合约相关的批准，警告称不这样做可能会使钱包面临进一步的未经授权转账风险。

如何在瞬间损失1700万美元：Matcha黑客如何将资金转移至以太坊

区块链安全公司迅速开始追踪这一漏洞，资金在链上流动。

PeckShield报告称，总计约1680万美元被盗，攻击者在Base网络上将约1050万美元的USDC兑换成约3655个ETH，随后开始将资产转移至以太坊。

CertiK也独立标记了可疑交易，发现一个钱包在Base上 siphoned 约1330万美元的USDC，并将资金转换为包裹以太币。

这两家公司指出，SwapNet合约中的一个漏洞允许任意调用，使攻击者能够转移用户先前批准的代币。

Matcha随后澄清，此事件与0x的AllowanceHolder或Settler合约无关，这些合约支撑其“一次性批准”系统。

团队指出，使用“一次性批准”与Matcha互动的用户并未受到影响，因为该设计限制了第三方合约的访问权限。

团队表示，只有选择关闭该系统并直接授予聚合器合约持续权限的用户受到影响。为此，Matcha已取消用户未来设置此类直接批准的选项。

旧代币批准成为DeFi中的持续弱点

此次漏洞突显了DeFi中灵活性与安全性之间的矛盾。虽然代币批准对于与智能合约的交互至关重要，但长期保持的权限一直是一个薄弱环节，尤其是在交易完成后。

在此案例中，先前授予的权限成为了漏洞发生的途径，因为SwapNet合约被攻破。

此次事件发生在加密行业对智能合约安全性持续关注的背景下。

SlowMist的年终报告显示，2025年智能合约中的漏洞占加密事件的30%以上，成为损失的主要原因。

研究人员还警告称，人工智能的进步正在加速攻击者识别和利用链上代码弱点的速度。

尽管12月整体加密损失下降，月环比减少约60%，降至约7600万美元，但安全公司警告称，这一下降并未反映出结构性改善。

PeckShield指出，单个地址的毒化诈骗就占了12月损失的5000万美元，显示即使在较为平静的时期，个别事件的集中和严重性依然突出。

1月已经发生了几起显著的攻击事件。IPOR Labs确认其在Arbitrum上的USDC Fusion Optimizer金库遭到336,000美元的攻击，而Truebit披露了一起智能合约事件，链上分析师估计损失超过8500个ETH，导致该项目代币价格几乎崩溃。

上周，Layer-1网络Saga在一起攻击事件后暂停了其SagaEVM链，该事件导致近700万美元的资产转移至以太坊。