SwapNet 是一個去中心化交易所(DEX)聚合器,因攻擊者利用遭入侵的路由合約, 加上部分使用者關閉關鍵安全機制,導致該合約持續被授予代幣授權,最終約有 1,680 萬美元的加密資產被盜。
事件經過:DEX 聚合器遭攻擊
安全公司 PeckShield reported 稱, 這次攻擊鎖定可透過 Matcha Meta 存取的與 SwapNet 相關活動。Matcha Meta 是由 0x 團隊打造的 Meta DEX 聚合器。這項漏洞主要影響選擇停用 0x「一次性授權」(One-Time Approval)機制的使用者, 這些使用者改為直接對底層聚合器合約授予權限。
在 Base 網路上,攻擊者將約 1,050 萬美元的 USDC (USDC) 兌換成約 3,655 枚 以太幣(Ether) (ETH), 隨後再將資金橋接到 以太坊主網(Ethereum) (ETH)。
這類操作是常見的洗錢與規避追蹤手法,用來增加追蹤難度。
「我們已注意到部分關閉一次性授權的使用者,可能在 Matcha Meta 上暴露於 SwapNet 相關事件中,」 Matcha Meta 在聲明中表示。該平台指出,SwapNet 的路由合約 (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e)是目前使用者最迫切需要撤銷授權的地址。
延伸閱讀: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
為何重要:DeFi 持續存在的漏洞與風險
這起事件凸顯去中心化金融在「便利性」與「安全性」之間的根本拉扯。
「一次性授權」要求使用者對每一筆交易逐一簽署與授權,雖然增加了操作摩擦, 但能減少持續性授權帶來的攻擊面;相對地,「無限授權」或長期授權雖能加快交易體驗, 卻等同賦予智慧合約對使用者資金的長期存取權,一旦合約被入侵或有惡意邏輯, 後果可能相當嚴重。
截至目前,SwapNet 尚未發布詳細的技術事後分析報告,也未說明是否會對受害使用者進行賠償。
同一天,安全審計人員 Pashov 也在以太坊主網上發現另一宗攻擊事件, 涉及約 37 枚 WBTC (WBTC), 估值超過 310 萬美元。該事件與一個在 41 天前才部署、且為閉源且未驗證的合約有關。
大約一個月前,DeFi 社群才剛被 Trust Wallet 遭駭事件所震撼。
Trust Wallet confirmed that approximately $7 million in cryptocurrency was stolen ,原因是瀏覽器外掛版本更新遭到入侵。這次攻擊僅影響於 12 月 24 日釋出的 Chrome 外掛 2.68 版, 所幸行動錢包使用者未受波及。幣安(Binance) 創辦人、同時也是 Trust Wallet 所屬公司的 趙長鵬(Changpeng Zhao) 表示,錢包方將全額補償所有受影響的使用者。
接下來閱讀: Why Are Whales Buying Seeker While Smart Money Sells?