SwapNet 這個去中心化交易聚合器,在攻擊者利用一個已被入侵的路由合約後,損失了約 1,680 萬美元的加密資產。事件中,部分用戶停用了關鍵的安全功能,仍然向該合約授予持續性的代幣授權。
事件經過:DEX 聚合器被利用
安全公司 PeckShield reported 了這次攻擊。攻擊針對的是透過 Matcha Meta 存取的與 SwapNet 相關活動。Matcha Meta 是由 0x 團隊開發的 Meta DEX 聚合器。這個漏洞影響到那些選擇停用 0x 一次性授權系統的用戶,因為他們改為向底層聚合器合約直接授權。
在 Base 網絡上,攻擊者把約 1,050 萬美元的 USDC (USDC) 兌換成大約 3,655 枚 以太幣(Ether) (ETH),然後再把資金跨鏈轉移到 以太坊(Ethereum) (ETH)。
這種手法是常見的洗錢與規避追蹤方式,用來增加資金流向調查的難度。
「我們已知悉與 SwapNet 有關的一宗事件,受影響的是在 Matcha Meta 上關閉一次性授權的用戶。」Matcha Meta 在聲明中表示。該平台指出,SwapNet 的路由合約 (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) 是目前用戶最急切需要撤銷授權的地址。
延伸閱讀: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
事件意義:DeFi 長期存在的安全弱點
這次事件凸顯了去中心化金融在「便利性」與「安全性」之間的根本矛盾。一次性授權要求用戶為每一筆交易單獨簽署授權,雖然增加操作摩擦,但可減少持續暴露的攻擊面。相反地,無上限授權雖然交易快速方便,卻等於長期把資金控制權交給智能合約。
截至目前,SwapNet 尚未發布技術層面的事後分析報告,也未表明會否向受影響用戶提供賠償。
同日,安全審計員 Pashov 又發現以太坊主網上一宗獨立的攻擊事件,涉及約 37 枚 WBTC (WBTC),價值超過 310 萬美元。事件與一個在 41 天前剛部署、屬於閉源且未驗證的合約有關。
大約一個月前,DeFi 社群亦曾因 Trust Wallet 遭駭而感到震驚。
Trust Wallet confirmed that approximately $7 million in cryptocurrency was stolen,原因是一個遭入侵的瀏覽器擴充功能更新。這次安全漏洞只影響到 12 月 24 日發布的 Chrome 擴充功能 2.68 版本,幸好行動裝置錢包用戶並未受波及。幣安(Binance) 創辦人、同時也是 Trust Wallet 所有人的 趙長鵬(Changpeng Zhao) 表示,錢包團隊會全額賠償所有受害用戶。
下一步閱讀: Why Are Whales Buying Seeker While Smart Money Sells?