SwapNet 漏洞在 Matcha Meta 的批准缺陷后导致 1680 万美元被盗

简要概述

• SwapNet漏洞导致1,680万美元被盗，用户在禁用一次性授权保护后遭受损失。
• 攻击者在桥接到以太坊之前，在Base上将1050万美元USDC兑换成ETH。
• Matcha Meta在安全公司标记出更广泛的DeFi风险后，已禁用受影响的合约。

与SwapNet相关的安全漏洞导致约1680万美元的损失，影响了通过Matcha Meta进行交互的用户。此次事件主要影响了禁用一次性授权的用户，从而暴露了持续的代币权限问题。

区块链安全公司PeckShieldAlert识别了该漏洞并追踪了资金的最初流向。攻击者针对的是保留无限授权的SwapNet路由合约，这些合约来自受影响用户的钱包。

在Base网络上，攻击者用大约1050万美元的USDC兑换了大约3655个以太币。随后，攻击者开始将兑换的资产桥接到以太坊主网，以增加追踪难度。

SwapNet作为流动性路由器，为Matcha Meta提供价格信息和深度流动性。此次漏洞涉及滥用现有授权，而非破解私钥或核心基础设施。

由0x团队开发的Matcha Meta确认了该问题，并立即禁用了受影响的SwapNet合约。平台还移除了允许用户直接授权第三方聚合器的选项。

安全公司标记更广泛风险，调查范围扩大

进一步分析表明，此次漏洞源于SwapNet合约中的任意调用漏洞。该缺陷允许攻击者在未请求新权限的情况下转移已获授权的代币。

安全公司BlockSec报告称，跨链的多个合约遭受损失，损失总额超过1700万美元。受影响的网络包括以太坊、Arbitrum、Base和BNB链，扩大了事件的影响范围。

另外，CertiK估算相关活动中被盗的USDC资金接近1330万美元。
部分涉事合约在部署时仍为闭源且未经过验证。

Matcha Meta随后确认，0x核心合约未受到此次事件影响。
依赖0x基础设施进行一次性授权的用户未受到影响。

此次事件再次引发对去中心化金融中持续授权问题的关注。
无限权限虽然带来便利，但在智能合约失败时也会增加风险。

与此同时，链上调查员ZachXBT批评Circle在冻结剩余USDC方面反应迟缓。据报道，约有300万美元的USDC仍存放在有冻结权限的地址中，等待响应。

此次漏洞事件为2026年初一系列DeFi安全失误增添了新篇章。行业数据显示，近年来被盗的加密资金达到历史新高，给协议安全实践带来了更大压力。