SwapNet 是一個去中心化交易聚合器,因攻擊者利用遭入侵的路由合約,再加上部分使用者關閉關鍵安全機制後仍保留長期代幣授權,導致約 1,343 萬美元加密資產被盜。
事件經過:DEX 聚合器遭攻擊
安全公司 PeckShield reported 指出,此次攻擊鎖定可透過 Matcha Meta 使用的 SwapNet 相關操作。Matcha Meta 是由 0x 團隊打造的聚合型 DEX。這次漏洞影響的是那些選擇停用 0x「一次性授權」機制的使用者,他們將代幣操作權限直接授予底層聚合器合約。
在 Base 網路上,攻擊者將約 1,050 萬美元的 USDC (USDC) 兌換成約 3,655 枚 Ether (ETH),隨後再把這些資金橋接至 Ethereum (ETH)。
這種先兌換再跨鏈的手法相當常見,目的在於增加追蹤難度。
「我們已注意到,對於在 Matcha Meta 上關閉一次性授權的使用者,SwapNet 相關操作可能使其暴露於此次事件風險之中。」Matcha Meta 在聲明中表示。平台並點名 SwapNet 的路由合約 (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) 是使用者目前最急需撤銷授權的合約。
延伸閱讀: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
為何重要:DeFi 長期存在的風險
此事件凸顯去中心化金融在「使用便利性」與「安全性」之間的根本衝突。「一次性授權」要求使用者每筆交易都重新簽名授權,雖然增加操作摩擦,卻能縮小長期可被利用的攻擊面;相對地,「無上限長期授權」雖然讓交易更快速順暢,卻等同賦予智慧合約對使用者資金的長期存取權。
目前 SwapNet 尚未公布技術層面的事後分析,也尚未說明是否會對受影響使用者進行賠償。
同一天,安全審計人員 Pashov 又通報 Ethereum 主網上一宗獨立攻擊事件,涉及約 37 枚 WBTC (WBTC),價值逾 310 萬美元,與一個在 41 天前才部署、且為閉源且未驗證的合約有關。
大約一個月前,DeFi 社群同樣被 Trust Wallet 遭駭事件震撼。
Trust Wallet confirmed that approximately $7 million in cryptocurrency was stolen,起因是瀏覽器延伸功能更新檔遭到入侵。這次攻擊僅影響 12 月 24 日釋出的 Chrome 延伸功能 2.68 版,手機錢包使用者則幸運未受波及。幣安(Binance)創辦人、同時也是 Trust Wallet 母公司負責人 趙長鵬 表示,錢包團隊將全額補償所有受害者。
1 月 27 日更新:根據 Matcha 最新釋出的 data,本文已調整用戶實際損失金額。
下一篇閱讀: Why Are Whales Buying Seeker While Smart Money Sells?