SwapNet遭攻击损失1700万美元,DEX agregator mekanisme otorisasi menjadi ancaman keamanan lagi
Menurut berita pada 26 Januari, SwapNet, agregator pertukaran terdesentralisasi on-chain, mengalami serangan kontrak pintar besar, dan sekitar $16,8 juta aset kripto dicuri, menyebabkan risiko keamanan DeFi menjadi fokus lagi. Badan keamanan blockchain PeckShield mengungkapkan bahwa serangan itu terkait dengan kontrak perutean SwapNet yang disebut melalui Matcha Meta, meta-agregator yang dikembangkan oleh tim 0x.
Serangan terjadi di jaringan Base, di mana peretas pertama kali menukar sekitar $10,5 juta dalam USDC dengan sekitar 3.655 ETH dan kemudian menjembatani dana ke mainnet Ethereum. Metode “transfer lintas rantai” ini sering digunakan untuk memperpanjang jalur pelacakan dan meningkatkan kesulitan pembekuan dan pemulihan dana.
Matcha Meta kemudian mengklarifikasi bahwa sistem intinya tidak dikompromikan, dan pengguna yang terpengaruh terutama adalah mereka yang mematikan mekanisme otorisasi satu kali 0x. Fitur keamanan ini awalnya dimaksudkan untuk membatasi akses berkelanjutan kontrak ke aset pengguna, tetapi beberapa pengguna memilih untuk menonaktifkannya untuk meningkatkan kenyamanan transaksi, sehingga secara langsung mengotorisasi kontrak agregator yang mendasarinya, termasuk router SwapNet. Pintu masuk inilah yang dieksploitasi oleh penyerang.
Matcha Meta mengatakan telah bekerja sama dengan tim SwapNet dan bahwa kontrak yang relevan telah ditangguhkan sementara, dan meminta pengguna untuk segera mencabut semua otorisasi agregator di bawah kerangka kerja otorisasi non-satu kali, terutama kontrak router SwapNet, untuk menghindari risiko lebih lanjut.
Kejadian ini sekali lagi mengungkap kontradiksi lama antara “kenyamanan dan keamanan” di DeFi. Meskipun otorisasi satu kali meningkatkan langkah-langkah operasi, otorisasi ini dapat secara signifikan mengurangi kemungkinan pencurian terus menerus; Meskipun otorisasi tak terbatas meningkatkan efisiensi transaksi, otorisasi tidak terbatas memperkuat kerugian saat kontrak dilanggar.
Pada saat yang sama, ada juga insiden kerentanan terkait kontrak sumber tertutup yang belum diverifikasi di mainnet Ethereum pada hari yang sama, memengaruhi sekitar 37 WBTC, semakin memperkuat kekhawatiran pasar tentang transparansi kontrak dan mekanisme audit. SwapNet belum mengumumkan apakah akan memberi kompensasi kepada pengguna, tetapi dapat diperkirakan bahwa pengawasan keamanan seputar agregator DEX dan model otorisasi akan meningkat secara signifikan pada tahun 2026.