Matcha Meta 遭遇價值 1680 萬美元的 SwapNet 智能合約駭客攻擊

引言 在星期日，Matcha Meta 公布了一起與其主要流動性提供者 SwapNet 相關的安全漏洞事件，該事件導致授權給 SwapNet 路由合約的用戶資金被盜。此事件凸顯了去中心化交易所生態系統中，具有權限的組件即使在核心基礎設施完好無損的情況下，也可能成為攻擊的突破口。早期公開評估損失約在 1300 萬至 1700 萬美元之間，且鏈上活動主要集中在 Base 網絡，並有跨鏈資金流向以太坊。此披露促使用戶撤回授權，並加強對外部路由器暴露的智能合約安全措施的審查。

重點摘要

此次漏洞源自 SwapNet 的路由合約，促使用戶緊急撤回授權以防止進一步損失。

被盜資金的估計數字不一：CertiK 報告約為 1330 萬美元，而 PeckShield 在 Base 網絡的損失至少為 1680 萬美元。

在 Base 網絡，攻擊者將約 1050 萬 USDC 兌換成約 3655 ETH，並開始將資金橋接到以太坊。

CertiK 指出，漏洞源於 0xswapnet 合約中的任意調用，允許攻擊者轉移已獲得授權的資金。

Matcha Meta 表示，此次暴露與 SwapNet 有關，而非其自身基礎設施，官方尚未提供賠償或安全措施的詳細資訊。

根據 SlowMist 的年度安全報告，智能合約弱點仍是加密貨幣被攻擊的主要原因，2025 年此類事件佔比達 30.5%。

提及的代幣

提及的代幣：Crypto → USDC、ETH、TRU

情緒

情緒：中性

價格影響

價格影響：負面。此次漏洞凸顯了 DeFi 頻繁存在的安全風險，可能影響市場對負責任的流動性提供和授權管理的風險偏好。

交易建議（非財務建議）

交易建議（非財務建議）：持有。此事件特定於路由器授權流程，並不直接代表所有 DeFi 協議存在更廣泛的系統性風險，但提醒用戶在授權管理和跨鏈流動性方面保持謹慎。

市場背景

市場背景：此事件發生時，DeFi 安全性和跨鏈活動受到高度關注，流動性提供者和聚合器越來越依賴模組化組件。同時，關於鏈上治理、審計以及在藍籌協議與新進者之間競爭用戶信任的討論也在演變。

為何重要

為何重要

DeFi 聚合器的安全事件揭示了多層協議交互中持續存在的風險。在此案例中，漏洞歸因於 SwapNet 路由合約的弱點，而非 Matcha Meta 的核心架構，突顯了信任在可組合生態系中分散於合作夥伴組件的現實。對用戶而言，此次事件提醒他們定期審查並撤回代幣授權，尤其在懷疑鏈上異常活動時。

雖然財務損失仍在持續評估中，但此事件強調了對外部流動性提供者進行嚴格審核的重要性，以及實時監控授權流程的必要性。攻擊者能將大量被盜資金轉換為穩定幣並橋接到以太坊，突顯了跨鏈動態，增加了事後追蹤和賠償的難度。交易所和安全研究人員強調，細粒度、時間限制的權限範圍和提前撤回能力，對限制此類攻擊的影響範圍具有關鍵作用。

從市場角度來看，此事件反映了無許可金融的脆弱性，以及在 DeFi 生態系中實施堅固、可審計安全措施的持續競賽。儘管此事件並未對 Matcha Meta 造成系統性打擊，但卻加劇了對路由合約安全審計標準化和第三方模組責任明確化的呼聲，這些模組與用戶資金的交互尤為重要。

接下來的觀察重點

接下來的觀察重點

Matcha Meta 官方關於事件根本原因的最新通告，以及對受影響用戶的補償或修復計劃。

任何外部審計或第三方對 SwapNet 路由合約的評審，以及為防止類似事件再次發生的治理變更。

鏈上監控 Base 與以太坊橋接活動及相關資金流動。

有關 DeFi 安全的監管和行業標準發展，特別是智能合約審計框架和用戶授權控制。

資料來源與驗證

Matcha Meta 在 X 上的貼文，提醒用戶在事件後撤回 SwapNet 授權。

CertiK 發布的建議，指出漏洞源於 0xswapnet 合約中的任意調用，允許轉移已授權資金。

PeckShield 的更新，指出在 Base 網絡約有 1680 萬美元被盜，包括 USDC 兌換 ETH 及資金橋接到以太坊。

SlowMist 2025 年區塊鏈安全與 AML 年度報告，詳細列出事件類別比例，其中智能合約弱點佔 30.5%，帳戶被攻破佔 24%。

Cointelegraph 報導 Truebit 事件，涉及 2600 萬美元損失及 TRU 代幣價格下跌，提供更廣泛的智能合約風險背景。

重點文章內容

Matcha Meta 的安全漏洞凸顯 DEX 生態系統中的智能合約風險

在最新的 DeFi 被內部攻破案例中，Matcha Meta 公布，透過其主要流動性提供渠道 SwapNet 的路由合約出現安全漏洞。用戶面臨的後果是撤回代幣授權，該協議在公開貼文中明確呼籲用戶這麼做。公司表示，此次漏洞並非來自 Matcha Meta 的核心架構，而是合作夥伴的路由層出現漏洞，授權其代表用戶轉移資金。

安全研究人員的早期估計將損失金額鎖定在一個範圍內。CertiK 估算約為 1330 萬美元，而 PeckShield 在 Base 網絡的損失至少為 1680 萬美元。差異反映了不同的鏈上會計方法和事後審查時間點，但兩者都確認了與 SwapNet 路由功能相關的重大損失。根據 PeckShield 發布在 X 的公告，攻擊者將約 1050 萬 USDC 兌換成約 3655 ETH，並開始將收益橋接到以太坊。

目前已經有約 1680 萬美元的資金被盜。攻擊者在 Base 網絡將約 1050 萬 USDC 兌換成約 3655 ETH，並開始橋接資金到以太坊。

CertiK 的技術分析指出，漏洞源於 0xswapnet 合約中的任意調用，使攻擊者能提取用戶已授權的資金，實質上繞過了從 SwapNet 流動性池直接盜取的方式，而是利用授權給路由器的權限。這一點很重要，因為它反映出整合層的治理或設計缺陷，而非 Matcha Meta 自身的資產或安全控制被破壞。

Matcha Meta 承認，此次暴露與 SwapNet 有關，並未將漏洞歸咎於其自身基礎設施。對於賠償或安全措施的回應尚未立即提供，受影響用戶短期內缺乏明確的補救方案。此事件展現了 DEX 聚合器的更廣泛風險：當合作夥伴引入新合約接口時，攻擊者可能針對權限流程進行攻擊，這些流程位於用戶授權與自動資金轉移的交叉點。

加密貨幣的安全格局依然充滿風險。2025 年，智能合約漏洞是造成加密攻擊的主要原因，佔比達 30.5%，共發生 56 起事件，根據 SlowMist 的年度安全報告。這一比例凸顯出，即使是先進的項目，也可能因邊緣案例的漏洞或配置錯誤而遭受攻擊。帳戶被盜和社交媒體帳戶被攻破（如受害者的 X 帳號）也佔有一定比例，顯示攻擊者的多元手段。

除了技術層面，該事件也推動了關於人工智慧在智能合約安全中的應用討論。DECEMBER 報告指出，市售的 AI 代理在實時監測中發現約 460 萬美元的鏈上漏洞，利用的工具包括 Claude Opus 4.5、Claude Sonnet 4.5 和 OpenAI 的 GPT-5。AI 驅動的探測與攻擊技術的出現，為審計和運營帶來更高的風險評估難度。這一不斷演變的威脅格局強調，持續監控、快速撤回授權和靈活的防禦措施在 DeFi 生態中至關重要。

在 SwapNet 事件發生前兩週，另一個高調的智能合約漏洞導致 Truebit 協議損失 2600 萬美元，TRU 代幣價格也出現劇烈反應。這些事件凸顯，智能合約層仍是黑客的主要攻擊面，即使在其他領域如資產托管、中心化基礎設施和鏈下組件，也面臨持續威脅。風險管理不僅要依賴審計和黑客獎勵，還需包括實時治理、監控和用戶授權與跨鏈操作的謹慎實踐。

隨著市場消化這些事件的影響，專家強調，DeFi 的韌性依賴於多層次的安全措施和透明的事件應對。雖然 SwapNet 的漏洞似乎是特定整合的孤立事件，但此事重申了一個核心教訓：即使是可信合作夥伴，也可能因合約交互方式而引入系統性風險。鏈上記錄將持續展開調查，Matcha Meta 及其流動性合作夥伴將進行取證，並決定是否向受害者提供賠償或提升風險控制措施，以防止類似事件再次發生。

本文最初刊登於 Crypto Breaking News，標題為「Matcha Meta 遭遇 1680 萬美元 SwapNet 智能合約駭客事件」，為您提供加密貨幣、比特幣及區塊鏈最新資訊的可信來源。