Matcha Meta SwapNet 安全事件致1680万美元被盗：攻击者利用任意调用漏洞

H2: Matcha Meta SwapNet 安全事件引爆市场关注 近日，去中心化交易所聚合平台 Matcha Meta 公布其 SwapNet 集成遭遇严重安全漏洞，引发行业广泛讨论。据多家区块链安全机构评估，此次事件导致约1680万美元的加密资产被非法转移，成为近期最受关注的区块链安全事件之一。 H3: 攻击路径清晰：从USDC兑换到跨链转移 链上数据分析显示，攻击者首先在 Base 网络上将约1050万美元的 USDC 兑换为约3655枚 ETH，随后迅速通过跨链桥将资金转移至以太坊主网。这一操作路径表明，攻击并非随机行为，而是有预谋地利用了特定合约逻辑漏洞。 H3: 漏洞根源：任意调用权限被滥用 根据 PeckShield 和 CertiK 的联合调查，攻击者正是利用了 SwapNet 合约中存在的“任意调用”机制，绕过正常授权流程，将本应受控的资金作为攻击目标。该机制允许未经二次验证的操作直接执行，成为此次事件的关键突破口。 H2: 项目方回应：非核心合约问题，影响范围有限 Matcha Meta 在官方公告中澄清，此次风险仅波及使用“一次性审批”功能并自行设置限额的用户。通过该方式交互的用户面临更高暴露风险，而未启用此功能的用户资金未受影响。项目方强调，经与 0x 协议团队核查，问题与 AllowanceHolder 及 Settler 合约无关，排除了底层协议层面的系统性缺陷。 H3: 防御升级：取消直接限额设置功能 为防止类似事件重演，Matcha Meta 已永久关闭用户在聚合商合约中直接设置限额的功能，并全面启用更严格的风控机制。此举被视为对去中心化金融生态中权限管理设计的一次重要修正。 H2: 行业背景：黑客活动持续升温，损失创历史新高 此次事件发生在全球加密货币安全形势日益严峻的背景下。据 Chainalysis 报告，2025 年前五个月，加密资产盗窃总额已突破34.1亿美元，同比上升超1%。其中，由与朝鲜有关联的黑客组织主导的攻击案占比近60%，单年窃取金额高达20.2亿美元，成为最大威胁来源。同时，大型交易所如 Bybit 遭受的15亿美元攻击，占全年总损失的44%。 H3: 用户警示：谨慎使用高风险授权功能 在当前环境下，用户应高度警惕任何涉及“一次性审批”或“无限授权”的操作。建议采用分批授权、定期审查以及使用可信钱包工具来降低潜在风险。此次事件再次提醒，去中心化并非绝对安全，信任机制仍需建立在透明与可控的基础上。