在Base区块链发生重大智能合约漏洞后,约1680万美元加密资产遭盗取,引发行业广泛关注。去中心化交易所聚合器Matcha Meta周日发布声明,确认其主要流动性提供方之一的SwapNet协议遭遇攻击,成为近期又一典型合约漏洞事件。
此次攻击源于@0xswapnet合约中存在任意调用权限,使攻击者可绕过正常流程转移已授权资金。据区块链安全机构PeckShield披露,攻击者已在Base链将约1050万USDC兑换为3,655枚以太坊,并通过跨链桥转移至以太坊主网,目前资金流向仍在追踪中。另有分析机构CertiK估算损失约为1330万美元,但多数数据指向更高金额。
Matcha Meta强调,本次风险源自第三方协议SwapNet,而非自身系统。尽管平台未直接参与交易执行,但部分用户曾对SwapNet路由合约授予长期授权,这使得账户面临持续性暴露风险。平台已紧急敦促所有相关用户立即撤销授权,防止进一步损失。
为何智能合约成为黑客首选目标?
根据SlowMist发布的2025年度安全报告,智能合约漏洞在全年加密攻击事件中占比达30.5%,共造成56起严重安全事故,位居榜首。相比之下,账户被攻破或社交账号被盗事件占24%,排名第二。这一趋势表明,代码层面的安全缺陷仍是行业最大隐患。
来源: Matcha Meta
AI技术双刃剑:发现漏洞也助长攻击
值得注意的是,人工智能正深刻改变漏洞发现格局。去年12月,商用生成式AI智能体利用Claude Opus 4.5、Claude Sonnet 4.5及GPT-5等模型,在多个主流协议中成功识别出价值460万美元的潜在漏洞。这既展现了技术进步带来的防御能力提升,也意味着攻击者可能借助类似工具加速攻击部署。
此前两周,离线计算协议Truebit也曾因合约缺陷遭受攻击,导致2600万美元资产流失,其代币价格一度暴跌99%。两次事件接连发生,暴露出当前DeFi生态在审计机制、授权管理与应急响应上的薄弱环节。
2025年安全事件原因分布。来源: SlowMist
业内专家指出,未来应推动“最小权限原则”落地,鼓励用户采用一次性授权模式,并建立更透明的漏洞披露与补偿机制。对于项目方而言,强化代码审计、引入自动化检测工具,以及制定快速响应预案,已成为不可回避的责任。
loading...
545
