Matcha Meta 用户受到影响，swapnet 黑客利用永久授权盗取1680万美元

通过Matcha Meta进行交互的用户遭遇了swapnet黑客攻击，该攻击滥用高风险的代币授权，窃取了暴露钱包中的资金。

攻击通过暴露的授权耗尽了1680万美元

区块链安全公司PeckShieldAlert首先报告了涉及SwapNet的重大安全事件，影响了Matcha Meta的用户。攻击者滥用现有的代币权限，最终从受影响的钱包中提取了1680万美元的加密资产。然而，核心问题源于授权的配置方式，而非Matcha Meta代码中的直接漏洞。

根据PeckShieldAlert的说法，此次漏洞针对的是那些修改了默认Matcha Meta安全设置的用户。这些用户没有依赖更安全的临时权限，而是授予了更广泛且持久的协议合约访问权限，一旦攻击者发现了漏洞，资产就变得脆弱。

SwapNet漏洞的执行方式

Matcha Meta提供了一次性授权系统，限制代币访问仅限于单次交易。这一设计有助于控制风险，确保交易完成后，智能合约不再拥有对用户代币的持续权限。此外，它还会在任何新交易前强制重新授权。

然而，一些用户禁用了“一次性授权”保护，改为授予个别聚合器合约直接、长期的权限。这些持久授权与SwapNet相关联，实际上赋予其合约在多次交易中持续访问用户资金的权限，无需额外确认。

攻击者随后针对这些永久授权的代币权限。一旦钱包批准了与SwapNet相关的合约，黑客就可以随意转移代币，无需受害者的再次签名。这使得整个余额可以悄无声息地被耗尽，因为不需要用户发起新的链上授权请求。

实际上，swapnet黑客将这些宽泛的授权变成了直接的攻击路径。原本为了便捷交易而设的授权，成为合约被攻破或滥用后进行未授权资金转移的工具。

链上追踪：Base和以太坊

链上数据显示，攻击者主要集中在Base网络。据早期分析，约1050万美元的USDC被兑换成大约3655个ETH。此外，交易的时间和模式表明，攻击者试图快速转换和重新分配被盗的稳定币。

在最初的兑换后不久，攻击者开始在Base网络进行跨链操作，将资金从Base转移到以太坊。跨链桥是链上盗贼常用的技术，用于增加追踪难度和混淆交易历史，从而使执法和分析工作变得更加困难。

额外的交易记录显示，USDC的转账金额超过1300万美元，并且与Uniswap V3流动性池有直接交互。此外，PeckShieldAlert的漏洞报告估算，经过对相关地址的活动汇总，累计被盗资产约为1680万美元。

Matcha Meta与SwapNet的反应

Matcha Meta公开承认了此次事件，并表示正与SwapNet团队密切合作。作为立即的应对措施，SwapNet暂时关闭了其合约，以阻止进一步的利用并减少其他钱包被盗的风险。

此外，Matcha Meta还取消了用户设置直接聚合器授权的选项，这一措施为攻击提供了切入点。此变更旨在确保未来的交易活动依赖更受限制的授权模式，减少类似事件再次发生时的影响范围。

平台还敦促用户撤销超出0x自身一次性授权合约的代币授权。特别是，Matcha Meta强调了与SwapNet路由器合约相关的授权，这些授权现已被确认是此次漏洞的关键风险因素。

持续调查与用户保护

对受影响钱包和相关合约的调查仍在进行中。Matcha Meta和SwapNet都承诺会持续提供更新，追踪被盗资金的流向，并与安全研究人员合作。然而，一旦资金在多个协议中被洗钱，追回资产通常非常困难。

目前，团队的重点是限制进一步的暴露，并指导用户采取安全措施。此次事件也凸显了代币授权在被滥用或未受控制时可能成为的巨大风险，尤其是在swapnet路由器被攻破的场景下。

总结来看，此次漏洞表明，授权的配置选择与智能合约代码一样关键。依赖限制性、一用的权限并定期审查授权的用户，更能抵御针对DeFi聚合器的类似攻击。