DEX 聚合器在繞過批准後遭遇價值 1680 萬美元的 SwapNet 漏洞攻擊

• 廣告 -

去中心化交易所聚合器 Matcha Meta 已確認，與其 SwapNet 整合相關的一起安全事件，造成估計損失 16.8 百萬美元。

該漏洞最初由區塊鏈安全公司 PeckShield 發現，之後由 CertiK 提供了進一步的技術分析。

哪裡出了問題

根據安全研究人員分享的調查結果，該漏洞特別影響了那些停用 Matcha Meta 之「一次性授權（One-Time Approval）」功能的用戶。透過選擇退出，這些用戶將持久權限直接授予 SwapNet 路由合約，從而形成後續被濫用的攻擊面。

#PeckShieldAlert Matcha Meta 已通報一起涉及 SwapNet 的安全漏洞。停用「一次性授權（One-Time Approvals）」的用戶面臨風險。

截至目前，價值約 ~$16.8M 的加密資產已被掏空。

在 #Base 上，攻擊者將約 ~10.5M $USDC 兌換為約 ~3,655 $ETH，並已開始將資金橋接至… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 2026 年 1 月 26 日

CertiK 將根本原因指出為 SwapNet 合約中的「任意呼叫（arbitrary call）」漏洞。此缺陷使攻擊者能夠對先前已核准路由器的錢包發起未經授權的轉帳，實際上繞過了正常的防護措施。

資金移動與影響範圍

鏈上活動顯示，攻擊者先在 Base 上將約 10.5 百萬美元的 USDC 兌換為約 3,655 枚 ETH，然後再將資產橋接至以太坊。這種跨鏈資金移動似乎旨在增加追蹤與資產追回工作的難度。

重要的是，此次事件並未影響所有 Matcha 用戶。風險僅限於那些曾手動停用一次性授權，並直接授予 SwapNet 合約權限的錢包。

                比特幣在 100,000 美元投資投票中超越黃金與白銀

緊急應對措施

針對此次漏洞，Matcha Meta 已採取數項立即行動：

• 已暫停 SwapNet 合約，以防止進一步損失。
• 已敦促用戶撤銷既有授權，特別是針對 SwapNet 路由合約
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e)。
• 平台已移除停用一次性授權的選項，目標是降低未來類似風險。

此次事件凸顯了持久性合約授權所帶來的安全取捨，並再次強調在與聚合器與路由合約互動時，定期檢視權限的重要性。