选择退出0x一次性批准功能让用户损失了1680万美元

链上去中心化交易所（DEX）聚合器SwapNet遭遇重大智能合约漏洞，导致近1680万美元加密资产被盗。

该事件凸显了去中心化金融（DeFi）领域中与代币授权及第三方路由合约相关的持续安全风险。

链上DEX聚合器SwapNet遭1680万美元漏洞攻击

PeckShield报告称，攻击者通过0x团队开发的元DEX聚合器Matcha Meta，针对SwapNet相关可访问活动发起攻击。

在Base网络上，攻击者将约1050万美元USDC兑换为3655枚ETH后跨链至以太坊，这是用于增加追踪和资金回收难度的常见手法。

Matcha Meta声明此次暴露并非源于其核心基础设施，而是源于用户主动关闭了0x的一次性批准功能——该安全功能本用于限制持续代币授权。

禁用此功能的用户向底层聚合器合约（包括SwapNet路由合约）授予了直接授权，最终形成攻击入口。

"我们注意到SwapNet事件可能影响了在Matcha Meta上关闭一次性批准功能的用户。"Matcha Meta在声明中表示。

该平台确认正与SwapNet团队协作，后者已临时禁用受影响合约以便调查。

作为预防措施，Matcha Meta敦促用户立即撤销对0x一次性批准框架之外独立聚合器的授权。

平台特别强调需优先撤销SwapNet路由合约（0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e）的授权，否则即使在漏洞修复后钱包仍可能暴露风险。

DeFi安全取舍：智能合约攻击激增下的便利性与安全性博弈

该事件反映了DeFi领域长期存在的便利性与安全性权衡问题。一次性批准要求用户逐笔交易授权，虽减少持续攻击面，但增加了高频交易者的操作摩擦。

无限授权虽提速交易，却使智能合约获得用户资金的持久访问权。当这些合约存在漏洞时，该机制将变得极其危险。

SwapNet尚未发布完整技术分析报告，也未表明是否补偿受影响用户，这使得责任认定与资金追回问题悬而未决。

事态的不明朗或将引发对DeFi生态系统中授权操作及聚合器集成方式的全面审视。

又一以太坊漏洞事件凸显未验证闭源合约风险

此次攻击发生在加密货币市场智能合约漏洞频发的背景下。

同日，安全审计师Pashov披露另一起以太坊主网漏洞事件，涉及约37枚WBTC（价值超310万美元）。

该事件与41天前部署的闭源未验证合约相关，该合约仅发布非人类可读字节码，规避了公开审查。

这些事件共同表明DeFi领域仍存在大量攻击者可利用的漏洞：

尽管经过多年审计与安全改进，DeFi仍面临结构性漏洞问题，迫使开发者和用户必须在易用性与风险管理之间寻找平衡。