SwapNet 這個去中心化交易(DEX)聚合器,被攻擊者利用一份已被入侵的 router 合約,配合用戶先前給出的持續代幣授權,在關鍵安全功能被關閉的情況下,轉走約 1,343 萬美元的加密資產。
事件經過:DEX 聚合器被攻擊
安全公司 PeckShield reported 這次攻擊。事件目標是透過 Matcha Meta 可存取的 SwapNet 相關操作,Matcha Meta 是由 0x 團隊打造的 meta DEX 聚合器。這個漏洞主要影響那些選擇停用 0x One-Time Approval 系統、直接把權限授予底層聚合器合約的用戶。
在 Base 網絡上,攻擊者把約 1,050 萬美元的 USDC (USDC) 兌換成約 3,655 枚 Ether (ETH),然後再把這些資金跨鏈橋接到 Ethereum (ETH)。
這種手法常被用來增加追蹤資金流向的難度。
「我們已留意到部分在 Matcha Meta 上、關掉 One-Time Approvals 的用戶,可能受到 SwapNet 相關事件影響。」Matcha Meta 在聲明中這樣表示。平台並點名 SwapNet 的 router 合約(0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e)是目前最緊急需要用戶撤銷授權的地址。
延伸閱讀: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
為何重要:DeFi 持續存在的漏洞風險
這次事件凸顯去中心化金融在「便利性與安全性」之間的根本張力。One-Time Approvals 要求用戶對每一筆交易逐一授權,雖然能減少長期暴露的攻擊面,但會增加高頻交易者的操作摩擦。相反地,無上限授權雖然更快速順手,卻等於長期把資金管道打開給智能合約。
截至目前為止,SwapNet 尚未發佈詳細技術事故報告(post-mortem),也未說明受影響用戶是否會獲得賠償。
同一日,安全審計員 Pashov 亦指出 Ethereum 主網上出現另一宗攻擊事件,涉及約 37 枚 WBTC (WBTC),價值超過 310 萬美元,與一份在 41 天前部署、封閉原始碼且未驗證的合約有關。
大約一個月前,DeFi 社群才剛被 Trust Wallet 遭駭事件震撼。
Trust Wallet confirmed that approximately $7 million in cryptocurrency was stolen,原因是一個遭入侵的瀏覽器擴充功能更新。這次入侵僅影響 12 月 24 日發佈的 Chrome 擴充功能 2.68 版,手機錢包用戶則幸運地沒有受到牽連。幣安(Binance) 創辦人、同時也是 Trust Wallet 母公司負責人的 趙長鵬(Changpeng Zhao) 表示,錢包將會全數賠償受害用戶。
1 月 27 日更新:根據 Matcha 新公布的 data,已修正用戶損失相關數據。