Matcha Meta 遭遇价值1680万美元的 SwapNet 智能合约黑客攻击

引言 周日，Matcha Meta披露了一起安全漏洞事件，涉及其主要流动性提供方之一SwapNet的路由合约被攻破，导致授权给SwapNet路由合约的用户资金被盗。此次事件凸显了去中心化交易生态系统中权限组件即使在核心基础设施完好无损的情况下，也可能成为攻击入口。早期公开评估显示损失金额约在1300万美元至1700万美元之间，链上活动主要集中在Base网络，并涉及向以太坊的跨链转移。此披露促使用户撤销授权，并引发对外部路由合约暴露的智能合约安全保障措施的关注。

关键要点

此次漏洞源于SwapNet的路由合约，促使用户紧急撤销授权以防止进一步损失。

被盗资金的估算各不相同：CertiK报告约为1330万美元，而PeckShield在Base网络上至少统计了1680万美元。

在Base网络上，攻击者将大约1050万USDC兑换成约3655 ETH，并开始将资金跨链到以太坊。

CertiK将漏洞归因于0xswapnet合约中的任意调用，允许攻击者转移已获授权的资金。

Matcha Meta表示此次风险暴露与SwapNet有关，而非其自身基础设施，尚未提供赔偿或安全措施的详细信息。

根据SlowMist的年度安全报告，智能合约漏洞仍是加密货币被攻击的主要原因，2025年占比达30.5%。

提及的交易代码

提及的交易代码：Crypto → USDC, ETH, TRU

情绪

情绪：中性

价格影响

价格影响：负面。此次漏洞凸显了DeFi中持续存在的安全风险，可能影响市场对责任流动性提供和授权管理的风险偏好。

交易建议（非财务建议）

交易建议（非财务建议）：持有。此次事件主要涉及路由授权路径，并不直接意味着所有DeFi协议都存在系统性风险，但提醒用户在授权管理和跨链流动性方面保持谨慎。

市场背景

市场背景：该事件发生在DeFi安全性和跨链活动日益受到关注的背景下，流动性提供者和聚合器越来越依赖模块化组件。同时，关于链上治理、审计以及在蓝筹协议和新兴项目中建立稳健保障的讨论也在不断演进。

为何重要

为何重要

DeFi聚合器的安全事件揭示了多协议层交互中持续存在的风险点。在本次事件中，漏洞归因于SwapNet的路由合约，而非Matcha Meta的核心架构，强调了信任在可组合生态系统中分布在合作伙伴的组件上。对用户而言，此次事件提醒应定期审查并撤销Token授权，尤其在怀疑链上异常活动时。

虽然财务影响仍在评估中，但强调了对外部流动性提供者进行严格审查和实时监控授权流的重要性。攻击者能够将部分被盗资金转换为稳定币并跨链到以太坊，突显了跨链动态带来的追踪和追偿难题。交易所和安全研究人员强调，细粒度、时间限制的权限范围和提前撤销能力对于限制此类攻击的影响范围至关重要。

从市场角度看，此次事件反映了无许可金融的脆弱性以及在DeFi生态系统各层实施稳健、可审计保障措施的持续竞争。虽然不构成对Matcha Meta的系统性指控，但事件加剧了对路由合约安全审计标准化和第三方模块责任明确的呼声。

接下来关注点

接下来关注点

Matcha Meta关于事件根源的官方更新及对受影响用户的补偿或修复方案。

对SwapNet路由合约的外部审计或第三方评审，以及为防止类似事件再次发生的治理变更。

链上监控Base到以太坊的跨链桥活动及后续资金流动。

关于DeFi安全的监管和行业标准发展，特别是智能合约审计框架和用户授权控制。

信息来源与验证

Matcha Meta在X上的公告，提醒用户在漏洞发生后撤销SwapNet的授权。

CertiK发布的公告，确认此次漏洞源于0xswapnet合约中的任意调用，允许转移已获授权的资金。

PeckShield的更新显示，约1680万美元资金在Base网络被转移，包括USDC兑换ETH和跨链到以太坊。

SlowMist的2025年区块链安全与反洗钱年度报告，详细列出事件类别占比，其中30.5%归因于智能合约漏洞，24%涉及账户被攻破。

Cointelegraph关于Truebit事件的报道，包括2600万美元的损失和TRU代币的价格下跌，为智能合约风险提供更广泛的背景。

重写文章正文

Matcha Meta的安全漏洞凸显了去中心化交易所生态系统中智能合约的风险

在最新的DeFi内部被攻破的案例中，Matcha Meta披露其主要流动性提供路径之一——SwapNet的路由合约出现安全漏洞。用户面临的直接后果是撤销Token授权，协议在其公开声明中明确呼吁用户采取此措施。公司表示，此次漏洞并非源自Matcha Meta的核心基础设施，而是合作伙伴的路由层存在漏洞，允许攻击者在用户授权的情况下转移资金。

安全研究人员的早期估算显示，财务损失金额在一个较窄的范围内。CertiK估算损失约为1330万美元，而PeckShield在Base网络上统计的最低损失为1680万美元。两者的差异反映了不同的链上核算方法和事后审查的时间差，但都确认了与SwapNet路由功能相关的重大损失。据PeckShield在X上的公告，攻击者将大约1050万USDC兑换成约3655 ETH，并开始将收益跨链到以太坊。

目前，已被转移的加密资产约为1680万美元。在Base网络上，攻击者将约1050万USDC兑换成约3655 ETH，并开始将资金跨链到以太坊。

CertiK的技术分析指出，此次漏洞的根源在于0xswapnet合约中的任意调用，使攻击者能够提取用户已授权的资金，从而绕过了对SwapNet流动性池的直接盗窃，而是利用了授权给路由合约的权限。这一区别非常重要，因为它反映了在集成层面存在治理或设计缺陷，而非Matcha Meta自身的托管或安全控制被攻破。

Matcha Meta确认此次风险暴露与SwapNet有关，并未将漏洞归咎于其自身基础设施。目前尚未获得关于赔偿机制或安全措施的详细评论，受影响用户在短期内缺乏明确的补救途径。这一事件揭示了去中心化交易聚合器的更广泛风险：当合作伙伴引入新的合约接口时，攻击者可能会针对权限流，利用用户授权与自动资金转移的交叉点进行攻击。

加密货币的安全形势依然严峻。根据SlowMist的年度报告，2025年智能合约漏洞是加密攻击的主要原因，占比达30.5%，共发生56起事件。这一比例显示，即使是技术先进的项目，也可能因边缘案例的漏洞或配置错误而陷入困境。账户被攻破和社交账号（如受害者的X账号）被入侵也占据相当比例，突显攻击手段的多样性。

除了技术层面，此次事件还引发了关于人工智能在智能合约安全中的应用讨论。DECEMBER报告指出，市售的AI代理在实时检测中发现了约460万美元的链上漏洞，使用的工具包括Claude Opus 4.5、Claude Sonnet 4.5和OpenAI的GPT-5。AI驱动的探测和利用技术的出现，为审计员和运营者带来了更复杂的风险评估挑战。这一不断演变的威胁环境强调了持续监控、快速撤销权限和灵活防御措施在DeFi生态中的必要性。

在SwapNet事件发生前两周，另一起高调的智能合约漏洞导致Truebit协议损失2600万美元，TRU代币价格也随之大幅下跌。这些事件表明，智能合约层仍是黑客的主要攻击目标，尽管其他领域如托管、中心化基础设施和链下组件也面临持续威胁。风险管理的核心在于超越审计和悬赏，加入实时治理、监控和用户授权与跨链操作的审慎实践。

随着市场逐步消化此次事件的影响，业内人士强调，DeFi的韧性依赖于多层次的保障和透明的应急响应。虽然SwapNet的漏洞似乎局限于某一特定集成，但此事件重申了一个核心教训：即使是可信赖的合作伙伴，也可能引入系统性风险，尤其当其合约在绕过标准安全措施的情况下与用户资金交互时。链上记录将持续展开，调查人员、Matcha Meta及其流动性合作伙伴将进行取证审查，决定是否为受害者提供赔偿或增强风险控制措施，以防止类似事件再次发生。

本文最初发表在Crypto Breaking News，标题为“Matcha Meta遭遇1680万美元SwapNet智能合约黑客攻击”，作为您可信赖的加密新闻、比特币新闻和区块链动态来源。