Matcha Meta 报告发生安全漏洞，损失 1680 万美元，更多用户面临风险

据 Web3 安全平台 PeckShield 称，由 0x 构建的交换和桥接聚合平台 Matcha Meta 由于 SwapNet 安全漏洞而损失了价值 1680 万美元的数字资产。.

Matcha Meta周一披露，其周末遭遇安全漏洞攻击，攻击者利用SwapNet（集成在Matcha Meta界面中的外部聚合器）窃取了代币。该平台表示，禁用“一次性授权”功能并直接向单个聚合器授予代币权限的用户，其资金面临损失风险。.

我们注意到SwapNet出现了一起dent ，关闭了一次性授权的用户可能在Matcha Meta上接触到该事件。

我们已与SwapNet团队取得联系，他们已暂时禁用其trac。

团队正在积极调查，并将提供……

— Matcha Meta (@matchametaxyz) 2026年1月25日

在X事件中，代币聚合平台MM发表声明称，在交易记录中发现来自SwapNet路由器trac的大额未经授权的代币转移记录后，他们注意到了可疑活动。该平台确认已联系SwapNet团队，后者“暂时禁用了相关trac”以防止进一步损失。. 

Matcha Meta黑客从受害者手中骗取了3000枚以太币。

据区块链安全公司 PeckShield，攻击者通过代币审批和兑换窃取资金。他们从 Base（以太坊二层区块链）上的受害者地址转移了约 1050 万枚 USDC，然后将这些稳定币兑换成 3655 个以太币，从而将价值集中到流动性更强的资产中。

完成交换后，攻击者开始将以太坊从Base链桥接到 Ethereum 主网，以隐藏任何交易痕迹。桥接是指使用智能trac或中间协议在区块链之间转移资产的过程。虽然在大多数情况下这被认为是“合法”的，但黑客之所以使用它，是因为它几乎不可能 trac他们的操作。.

犯罪分子此前已授予用户无需用户签名即可转移资金的代币权限，这相当于授权 智能合约trac花费 用户的代币。如果权限设置为无限制，恶意或被入侵的合约trac不断盗取资金，直至余额耗尽。 

Matcha Meta表示，使用其一次性审批系统与平台交互的用户未受影响。该系统通过0x的AllowanceHolder和Settler合约trac代币权限，通过仅批准单笔交易来限制交易者的风险敞口。. 

Matcha Meta 随后在 X 上发文称：“经与 0x 协议团队审查，我们已确认该dent 的性质与 0x 的 AllowanceHolder 或 Settlertrac无关。”该公司还补充说，禁用一次性审批并直接在聚合器trac上设置限额的用户“需自行承担各聚合器的风险”。

经与 0x 协议团队审查，我们已确认该dent 的性质与 0x 的 AllowanceHolder 或 Settlertrac无关。.

通过一次性授权与 Matcha Meta 进行过交互的用户可以安全使用。.

已禁用一次性付款的用户… https://t.co/VQVmj4LL0F

— Matcha Meta (@matchametaxyz) 2026年1月25日

DEX 交易平台取消了用户通过其界面直接设置聚合器配额的功能，同时要求社区撤销 SwapNet 路由器trac上的任何现有权限。. 

DeFi 智能trac黑客攻击事件在2026年仍将持续存在

Matcha Metadent 发生仅仅六天前，去中心化金融协议 Makina Finance 遭遇网络攻击，导致其在 Curve 上的 DUSD/USDC 流动性池耗尽。Makina Finance 具有自动执行功能。.

据 报道 Cryptopolitan Cryptopolitan，黑客trac了约 1299 个以太币，当时价值 413 万美元。此次攻击涉及连接到链上定价预言机的非托管流动性提供商，该预言机是智能合约用于trac价值的数据源。 

根据区块链分析公司 Elliptic 的说法，如今暗网洗钱活动大多涉及代币交换服务，包括通过独立网站或 Telegram 频道运行的即时交易。.

去年，去中心化交易聚合平台 CoWSwap 报告了一起数据泄露事件。 该平台表示，被盗用的合约trac对一个求解器账户的攻击。在 CoWSwap 的模式下，用户签署交易意向书，这些意向书会被传递给第三方求解器，由它们竞相提供最优价格并存储收取的手续费。