去中心化交易所聚合平台Matcha Meta报告,其SwapNet集成功能发生安全事件,导致用户资金损失。
- 损失规模:区块链安全公司PeckShield估计,被盗资产价值约1680万美元。攻击者先在Base链上将约1050万美元的USDC兑换为3655个ETH,随后将资金桥接至以太坊。
- 漏洞原因:攻击利用了SwapNet合约中的“任意调用”漏洞,针对已授权转移的资金进行攻击。安全公司CertiK此前估计的损失约为1330万美元。
- 影响范围:Matcha Meta表示,风险仅限于那些禁用了“一次性审批”功能、并直接在各个聚合商合约中设置限额的用户。使用“一次性审批”功能的用户未受影响。
- 后续措施:平台已取消用户直接在聚合商合约中设置限额的功能,以防止类似事件再次发生。Matcha Meta确认,此问题与0x协议的AllowanceHolder或Settler合约无关。
