SwapNetが攻撃され、1700万ドルの損失 DEXアグリゲーターの承認メカニズムが再び安全上のリスクに

1月26日消息，链上去中心化交易所聚合器 SwapNet 遭遇重大智能合约攻击，约1680万美元的加密资产被盗，引发 DeFi 安全风险再度成为焦点。区块链安全机构 PeckShield 披露，攻击与通过 Matcha Meta（由 0x 团队开发的元聚合器）调用的 SwapNet 路由合约有关。

攻撃はBaseネットワーク上で発生し、ハッカーは約1050万美元のUSDCを約3655枚のETHに交換し、その後資金をイーサリアムメインネットにブリッジした。この「クロスチェーン転送」手法は追跡経路を長くし、資金の凍結や回収を難しくするためによく使われる。

Matcha Metaはその後、コアシステムが侵害されていないことを明らかにし、影響を受けたユーザーは主に0xのワンタイム承認メカニズムを無効にした人々であると説明した。このセキュリティ機能はもともとコントラクトによるユーザー資産への継続的アクセスを制限するために設計されたが、一部のユーザーは取引の便利さを向上させるために無効に選択し、その結果、SwapNetのルーターを含む基底のアグリゲーターコントラクトに直接承認を与えていた。まさにこの入口が攻撃者に利用された。

Matcha Metaは、SwapNetチームと協力して対応しており、関連コントラクトは一時停止されていると述べ、特にSwapNetのルーターコントラクトを含む非ワンタイム承認フレームワーク下のすべてのアグリゲーター承認を直ちに取り消すようユーザーに呼びかけている。これによりさらなるリスクを回避する。

この事件は、DeFiにおける「利便性と安全性」の長期的な矛盾を再び浮き彫りにした。ワンタイム承認は操作手順を増やすが、盗難の継続リスクを大幅に低減できる。一方、無制限承認は取引効率を向上させるが、コントラクトが攻撃された場合に損失を拡大させる。

同時に、イーサリアムメインネットではその日、クローズドソースで検証されていないコントラクトに関連する脆弱性事件も発生し、約37枚のWBTCが影響を受け、市場のコントラクトの透明性と監査メカニズムに対する懸念をさらに高めている。SwapNetはユーザーへの補償についてまだ発表していないが、DEXアグリゲーターと承認モデルのセキュリティ審査は2026年に大きく強化されることが予想される。