SwapNet 是一家去中心化交易所聚合器,因其路由合约被攻陷而遭到攻击, 在部分用户关闭关键安全功能后,仍对该合约保留持久代币授权,最终被盗走约 1343 万美元的加密资产。
事件经过:DEX 聚合器遭利用
安全公司 PeckShield reported 此次攻击。攻击目标是可通过 Matcha Meta 访问的与 SwapNet 相关活动, Matcha Meta 是由 0x 团队构建的元 DEX 聚合器。漏洞影响了那些选择退出 0x 一次性授权系统的用户,这些用户将直接权限授予了底层聚合器合约。
在 Base 网络上,攻击者将约 1050 万美元 USDC (USDC) 兑换为约 3655 枚 以太币 (ETH),随后将资金跨链至 以太坊 (ETH)。
这种操作是常见手法,意在增加资金追踪难度。
Matcha Meta 在声明中表示:“我们已知悉与 SwapNet 相关的事故,那些在 Matcha Meta 上关闭一次性授权的用户可能受到影响。”平台指出,SwapNet 的路由合约 (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) 是当前用户最紧急需要撤销授权的地址。
另见: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
事件意义:DeFi 中持续存在的安全隐患
本次事件凸显了去中心化金融在“便捷性”与“安全性”之间的根本矛盾。 一次性授权要求用户对每笔交易单独确认,减少了长期暴露的攻击面, 但会增加高频交易者的使用摩擦。无限授权提高了操作速度,却以向智能合约长期开放 资金访问权限为代价。
SwapNet 目前尚未发布技术层面的事故复盘,也未说明受影响用户是否会得到赔付。
同一天,安全审计员 Pashov 报告了以太坊主网上的另一宗攻击事件, 牵涉约 37 枚 WBTC (WBTC),价值超过 310 万美元。 该攻击关联到一个在 41 天前部署的闭源、未验证合约。
大约一个月前,DeFi 社区刚刚因 Trust Wallet 被黑事件而震惊。
Trust Wallet confirmed that approximately $7 million in cryptocurrency was stolen ,原因是一则被植入恶意代码的浏览器扩展更新。此次入侵仅影响 Chrome 扩展的 2.68 版本,该版本于 12 月 24 日发布。移动端钱包用户幸运地未受波及。 赵长鹏,即拥有 Trust Wallet 的 币安 创始人,表示钱包方将全额赔付 所有受影响用户。
1 月 27 日更新:根据 Matcha 新发布的 data,修正了本次攻击中用户损失的相关数据。
下一篇阅读: Why Are Whales Buying Seeker While Smart Money Sells?