DEX 聚合器在繞過批准後遭遇價值 1680 萬美元的 SwapNet 漏洞攻擊

• 廣告 -

去中心化交易所聚合器 Matcha Meta 已證實，與其 SwapNet 整合相關的安全事件，造成估計損失 16.8 百萬美元。

該漏洞最初由區塊鏈安全公司 PeckShield 發現，隨後由 CertiK 提供更進一步的技術分析。

發生了什麼錯誤

根據安全研究人員分享的調查結果，此次漏洞攻擊特別影響了停用了 Matcha Meta「一次性授權（One-Time Approval）」功能的使用者。透過選擇退出，這些使用者將持久權限直接授予 SwapNet 路由器合約，從而形成了後續被濫用的攻擊面。

#PeckShieldAlert Matcha Meta 已報告一起涉及 SwapNet 的安全漏洞。選擇退出「一次性授權」的用戶面臨風險。

目前，價值約 ~$16.8M 的加密資產已被掏空。

在 #Base 上，攻擊者將約 ~10.5M $USDC 交換為約 ~3,655 $ETH，並開始將資金橋接至… pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 2026 年 1 月 26 日

CertiK 指出根本原因是 SwapNet 合約中的「任意呼叫（arbitrary call）」漏洞。這項缺陷允許攻擊者從先前已批准過路由器的錢包發起未經授權的轉帳，實際上繞過了正常的防護措施。

資金移動與影響範圍

鏈上活動顯示，攻擊者在 Base 上將約 10.5 百萬美元的 USDC 交換為約 3,655 ETH，然後再將資產橋接至以太坊。這種跨鏈移動似乎是為了讓追蹤與資產追回工作變得更困難。

重要的是，此次事件並未影響所有 Matcha 使用者。暴露範圍僅限於那些曾手動停用一次性授權並直接授予 SwapNet 合約權限的錢包。

                在 100,000 美元投資民意調查中，比特幣超越黃金與白銀

緊急應對措施

因應此次漏洞攻擊，Matcha Meta 已採取多項立即措施：

• 已暫停 SwapNet 合約，以防止進一步損失。
• 已敦促使用者撤銷既有授權，特別是針對 SwapNet 路由器合約
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e)。
• 平台已移除停用一次性授權的選項，目標是降低未來類似風險。

此次事件凸顯了與持久合約授權相關的安全取捨，並強調在與聚合器與路由合約互動時，定期檢視權限的重要性。