链上去中心化交易所(DEX)聚合器SwapNet遭遇重大智能合约漏洞攻击,导致价值约1680万美元的加密资产被盗。此次事件再次凸显了DeFi领域在代币审批和第三方合约集成方面持续存在的安全风险。
攻击事件概述
- 攻击路径:安全公司PeckShield报告称,攻击者通过Matcha Meta(一个元DEX聚合器)访问了与SwapNet相关的合约。
- 资金转移:攻击者在Base网络上将约1050万美元的USDC兑换为3655个ETH,随后将资金桥接至以太坊主网,此举常用于干扰追踪。
- 责任界定:Matcha Meta声明,其核心基础设施并非漏洞源头。受影响用户主要为那些禁用了“一次性授权”安全功能的用户,他们直接批准了SwapNet等底层聚合器合约,从而暴露了风险。
Matcha Meta表示:“我们注意到SwapNet发生了一起事件,在Matcha Meta上关闭了一次性授权功能的用户可能受到影响。”
安全响应与建议
- SwapNet团队已暂时禁用受影响的合约,调查仍在进行中。
- Matcha Meta敦促用户立即撤销对0x一次性授权框架之外各聚合器的代币授权,并特别指出SwapNet路由器合约(0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e)为最优先撤销对象。
DeFi的安全与便利权衡
此次攻击反映了DeFi中常见的两难选择:
- 一次性授权:每笔交易需单独批准,安全性高但操作繁琐。
- 无限授权:授予合约持续资金访问权限,交易便捷但风险极高,一旦合约被攻破,资产将面临严重威胁。
SwapNet尚未发布详细的事后分析或明确的用户赔偿方案,责任与善后问题悬而未决。
行业背景:安全漏洞频发
同日,以太坊主网还发生另一起漏洞事件,涉及价值超310万美元的WBTC,与一个仅部署41天、未经验证的闭源合约有关。
近期事件共同暴露了DeFi生态中普遍存在的攻击温床:
- 未经验证或闭源的合约代码
- 持续性的代币授权(无限授权)
- 复杂的多层路由与聚合器集成
尽管安全实践不断进步,但DeFi领域仍面临结构性安全挑战,需要在用户体验与风险控制之间谨慎平衡。
