H2: Matcha Meta SwapNet 安全事件引爆市场关注
近日,去中心化交易所聚合平台 Matcha Meta 公布其 SwapNet 集成遭遇严重安全漏洞,引发行业广泛讨论。据多家区块链安全机构评估,此次事件导致约1680万美元的加密资产被非法转移,成为近期最受关注的区块链安全事件之一。
H3: 攻击路径清晰:从USDC兑换到跨链转移
链上数据分析显示,攻击者首先在 Base 网络上将约1050万美元的 USDC 兑换为约3655枚 ETH,随后迅速通过跨链桥将资金转移至以太坊主网。这一操作路径表明,攻击并非随机行为,而是有预谋地利用了特定合约逻辑漏洞。
H3: 漏洞根源:任意调用权限被滥用
根据 PeckShield 和 CertiK 的联合调查,攻击者正是利用了 SwapNet 合约中存在的“任意调用”机制,绕过正常授权流程,将本应受控的资金作为攻击目标。该机制允许未经二次验证的操作直接执行,成为此次事件的关键突破口。
H2: 项目方回应:非核心合约问题,影响范围有限
Matcha Meta 在官方公告中澄清,此次风险仅波及使用“一次性审批”功能并自行设置限额的用户。通过该方式交互的用户面临更高暴露风险,而未启用此功能的用户资金未受影响。项目方强调,经与 0x 协议团队核查,问题与 AllowanceHolder 及 Settler 合约无关,排除了底层协议层面的系统性缺陷。
H3: 防御升级:取消直接限额设置功能
为防止类似事件重演,Matcha Meta 已永久关闭用户在聚合商合约中直接设置限额的功能,并全面启用更严格的风控机制。此举被视为对去中心化金融生态中权限管理设计的一次重要修正。
H2: 行业背景:黑客活动持续升温,损失创历史新高
此次事件发生在全球加密货
币安全形势日益严峻的背景下。据 Chainalysis 报告,2025 年前五个月,加密资产盗窃总额已突破34.1亿美元,同比上升超1%。其中,由与朝鲜有关联的黑客组织主导的攻击案占比近60%,单年窃取金额高达20.2亿美元,成为最大威胁来源。同时,大型交易所如 Bybit 遭受的15亿美元攻击,占全年总损失的44%。
H3: 用户警示:谨慎使用高风险授权功能
在当前环境下,用户应高度警惕任何涉及“一次性审批”或“无限授权”的操作。建议采用分批授权、定期审查以及使用可信钱包工具来降低潜在风险。此次事件再次提醒,去中心化并非绝对安全,信任机制仍需建立在透明与可控的基础上。
loading...
474
