Matcha Meta 在 SwapNet 漏洞后移除直接授权,损失约1680万美元
Matcha Meta 披露了一起与 SwapNet 相关的漏洞利用事件,攻击者利用 SwapNet 路由合约中的“任意调用”漏洞提取了约 1,680 万美元资产。安全公司 PeckShield 和 CertiK 报告称,攻击者在 Base 链上将约 1,050 万至 1,330 万美元 USDC 换成约 3,655 ETH,并将资金桥到以太坊。Matcha Meta 表示,受影响的是禁用一次性授权并对聚合器合约设置直接授权的用户;使用一次性授权的账户未受影响。在与 0x 协议开发者沟通后,Matcha Meta 确认问题并非由 0x 的 AllowanceHolder 或 Settler 合约引起,并已移除设置直接授权的选项以降低未来风险。该事件强调了聚合器集成和跨链桥中的智能合约风险。交易者应检查并撤销持久授权、避免对聚合器设置直接授权、监控桥接资金流,并对新上线的聚合器功能保持谨慎。此次利用事件是近期包括 Bybit、Makina Finance 和 SagaEVM 在内的一系列 DeFi 损失的一部分,可能提高市场的流动性风险溢价并加剧安全担忧。
看跌
该事件对直接相关代币和服务构成看跌影响,因为它增加了交易聚合器集成和跨链操作的风险感知。短期影响:对受影响链上(尤其是通过 Base 桥接的 ETH)和聚合器相关资产的需求可能下降或出现抛售,加剧桥接时的波动并促使交易者撤销授权、降低对聚合器的敞口。做市商可能扩大买卖差价,流动性提供者或将撤资,导致滑点和交易成本上升。长期影响:协议层面的修复(如移除直接授权)和更严格的审计可逐步恢复信心,但重复发生的事件会侵蚀信任并维持更高的安全风险溢价。就 ETH 而言,尽管本次攻击涉及将 USDC 换成 ETH 并桥出,但 ETH 的市场流动性和多重用途限制了此次事件单独导致的长期价格下跌;仍可预期短期波动和局部抛压。总体而言,该消息削弱了对聚合器集成与跨链桥活动的市场情绪,在审计和修复完成前市场将更为谨慎。