本站报道:

链上去中心化交易所 (DEX) 聚合器 SwapNet 遭遇了一次重大的智能合约漏洞攻击,导致价值近 1680 万美元的加密资产被盗。

该事件凸显了去中心化金融 (DeFi) 中与代币审批和第三方路由合约相关的持续存在的安全风险。

链上去中心化交易所聚合平台SwapNet遭遇1680万美元漏洞攻击

PeckShield 报告称,攻击者的目标是通过 Matcha Meta(0x 团队构建的元 DEX 聚合器)访问的与 SwapNet 相关的活动。

在Base网络上,攻击者此前用价值约1050万美元的USDC兑换了约3655个ETH。将资金桥接到以太坊这是用来干扰追踪和恢复工作的常用策略。

Matcha Meta 明确表示,此次安全漏洞并非源于其核心基础设施。受影响的用户是那些选择退出 0x 的一次性授权系统的用户,该系统是一项旨在限制持续令牌权限的安全功能。

禁用此选项的用户直接批准了底层聚合器合约,包括 SwapNet 的路由器,这最终成为了攻击媒介。

“我们注意到SwapNet出现了一起事件,关闭了一次性授权功能的用户可能在Matcha Meta上接触到该事件。” Matcha Meta说在一份声明中。

该平台证实,它正在与 SwapNet 团队协调,SwapNet 团队已暂时禁用受影响的合约,同时调查仍在进行中。

为防万一,Matcha Meta 敦促用户立即撤销对 0x 一次性授权框架之外的各个聚合商的授权。

该平台将SwapNet的路由器合约(0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e)列为最迫切需要撤销的授权。如果不撤销,即使漏洞已被控制,钱包仍可能面临风险。

DeFi 的安全权衡:在智能合约漏洞日益增多的情况下,便利性与安全性之间需要权衡

此次事件反映了去中心化金融(DeFi)领域长期存在的便利性和安全性之间的权衡。一次性授权机制要求用户逐笔授权交易,从而减少了持续攻击面。然而,这也给频繁交易者带来了不便。

无限次审批,速度更快,授予智能合约持续获得用户资金的使用权。然而,一旦这些合同遭到破坏,这种安排就会变得危险。

SwapNet尚未发布完整的技术事故分析报告,也未表明是否会对受影响用户进行赔偿。这使得责任追究和赔偿问题仍然悬而未决。

由于目前情况尚不明朗,可能会加剧人们对整个 DeFi 生态系统中审批流程和聚合器集成的审查。

又一起以太坊漏洞事件凸显了未经验证的闭源合约的风险

此次漏洞利用事件正值智能合约攻击频发的背景下发生。加密货币市场安全事件.

同一天,安全审计员帕绍夫发现了一起涉及约 37 个 WBTC 的以太坊主网漏洞,价值超过 310 万美元。

这与一份闭源、未经核实的合约有关,该合约仅在41天前部署。该合约仅发布了人类无法阅读的字节码,从而阻止了公众审查。

这些事件共同凸显了DeFi领域存在大量可供攻击者利用的温床。这些温床包括:

  • 未经验证的代码
  • 持续的批准,以及
  • 复杂的路由层。

尽管经过多年的审计和安全改进,DeFi 仍然面临着结构性漏洞的困扰。这使得开发者和用户需要在可用性和风险管理之间取得平衡。