SwapNet 是一款去中心化交易所聚合器,在攻击者利用其遭入侵的路由合约后,损失了约 1680 万美元的加密资产。受影响的是那些在关闭关键安全功能后,仍向该合约授予长期代币授权的用户。
事件经过:DEX 聚合器被攻陷
安全公司 PeckShield reported 了这起攻击。攻击目标是可通过 Matcha Meta 访问的与 SwapNet 相关活动。Matcha Meta 是由 0x 团队构建的元 DEX 聚合器。此次漏洞影响的是那些选择退出 0x 一次性授权系统、转而直接向底层聚合器合约授予权限的用户。
在 Base 网络上,攻击者将约 1050 万美元的 USDC (USDC) 兑换成约 3,655 枚 以太币 (ETH),随后将资金跨链转移到 以太坊主网 (ETH)。
此类操作是一种常见手法,用于增加资金追踪的难度。
Matcha Meta 在声明中表示:“我们已注意到 SwapNet 发生的事件,对于那些关闭一次性授权的用户,可能在 Matcha Meta 上暴露于相关风险。”该平台将 SwapNet 路由合约(0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e)列为目前用户最需要紧急撤销授权的合约。
延伸阅读: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
事件影响:DeFi 持续暴露的安全隐患
此次事件凸显了去中心化金融在“便捷性”与“安全性”之间的根本矛盾。一次性授权要求用户为每笔交易单独签名授权,从而减少长期暴露的攻击面,但也增加了高频交易者的使用摩擦。无限授权则以提升速度为代价,让智能合约长期掌控用户资金的操作权限。
目前 SwapNet 尚未发布技术复盘报告,也未说明是否会对受影响用户进行赔偿。
同一天,安全审计人员 Pashov 在以太坊主网上发现了另一宗攻击事件,涉及约 37 枚 WBTC (WBTC),价值逾 310 万美元,相关资金被关联到一个仅在 41 天前部署的闭源、未验证合约。
大约一个月前,DeFi 社区还曾因 Trust Wallet 遭黑客攻击而震惊。
Trust Wallet confirmed that approximately $7 million in cryptocurrency was stolen ,原因是一份遭入侵的浏览器扩展更新。此次安全事件仅影响 12 月 24 日发布的 Chrome 扩展 2.68 版本,幸好移动端钱包用户未受波及。币安(Binance)创始人 赵长鹏 表示,作为 Trust Wallet 的所有者,平台将全额赔付所有受影响用户。