资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
事件回顾与受影响范围
去中心化交易聚合平台Matcha Meta于周日披露一起安全漏洞事件,起因是其主要流动性提供商之一SwapNet因智能合约漏洞遭到利用。此次事件进一步增加了近期针对DeFi领域内基于授权机制的路由合约的攻击案例。Matcha Meta在社交平台上发出警示,此前曾向SwapNet路由合约授予代币批准权限的用户可能存在资产风险。协议方敦促受影响用户立即撤销与该路由合约关联的所有授权,以限制潜在损失。Matcha Meta强调该问题源于SwapNet自身合约,与其基础设施无关。
各安全机构对损失规模的评估存在差异。CertiK估算损失约为1330万美元,而PeckShield报告称Base网络上损失至少达1680万美元。PeckShield补充说明攻击者已转换大部分所得资产,并开始向链下转移资金。其在周一发布的公告中指出:“截至目前,约价值1680万美元的加密资产已被转移。攻击者在Base网络上将约1050万枚USDC兑换为约3655枚ETH,并开始将资金跨链至以太坊网络”,再次呼吁用户撤销相关协议授权。
风险警示
基于授权的路由合约仍是DeFi生态中的薄弱环节。即使用户在漏洞公开后未采取行动,其保留的宽泛代币授权仍将持续暴露于风险之中。
攻击原理分析
据CertiK分析,此次漏洞源于SwapNet合约中的任意调用缺陷,使得攻击者能够转移用户此前已授权给路由合约的资金。此类漏洞无需直接侵入用户钱包,而是滥用用户在常规交易活动中已授予的权限。这一特性对理解风险范围具有重要意义:从未与SwapNet路由合约交互的用户基本不受影响,而曾授权过代币的用户在撤销授权前可能持续处于风险状态。
Matcha Meta明确指出风险仅限于SwapNet的路由合约,其自身系统未受波及。截至发稿时,平台尚未就受影响用户是否获得补偿或是否将引入额外防护措施作出回应。这种即时性说明的缺失反映出DeFi事件的普遍模式——责任界定往往在聚合器、流动性提供商与底层智能合约之间存在模糊地带。
智能合约漏洞持续主导损失成因
SwapNet漏洞事件是近期一系列智能合约安全事件的最新案例。本月早些时候,离线计算协议Truebit遭攻击导致2600万美元损失,并引发其代币价格近乎归零。这些案例共同凸显了合约层级缺陷如何快速转化为用户损失与市场动荡。
慢雾科技年终报告数据显示,智能合约漏洞在2025年已成为加密资产损失的首要原因,在56起安全事件中占比达30.5%。账户接管与社交媒体攻击位列第二,占比24%。对攻击者而言,智能合约提供了规模化攻击途径——单个漏洞可能波及成千上万名已授权合约的用户,无需逐个突破即可获取巨额收益。对用户而言,由于交易完成后授权往往长期有效,此类风险更具隐蔽性。
核心启示
智能合约攻击造成的损失集中化表明,技术性风险(而非市场波动)仍是DeFi领域的主要威胁载体。
人工智能在漏洞发现中的双重角色
安全研究人员指出,人工智能技术的进步正在改变合约漏洞的发现方式,这对防御方与攻击方均产生影响。去年十二月,商业化生成式AI工具在现有协议中识别出约价值460万美元的可利用智能合约缺陷。这些发现意味着漏洞发现正变得更快、成本更低。虽然这有助于审计方与白帽研究人员,但也降低了恶意行为者扫描已部署合约的门槛——那些在初始审计中未被发现的弱点可能因此暴露。
对于DeFi平台而言,这种环境对持续监控提出了更高要求。当合约上线运行数月乃至数年后,随着用户授权与锁仓价值的累积,仅依靠上线前的审计可能已不足以应对动态风险。
用户与协议的后续应对
短期来看,受影响用户的应急措施非常明确:立即撤销与SwapNet路由合约关联的所有代币授权。审核与撤销授权工具已成为DeFi风险管理标准配置,但许多用户仍对此疏于关注。
