Trang chủ
Tin tức
Chi tiết

Matcha Meta Bị Hack Hợp Đồng Thông Minh SwapNet 16,8 Triệu USD

iconCryptoBreaking
Chia sẻ
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
USDC
$1,001-0,01%
This is the logo of the coin.
ETH
$1.825,44-5,15%
AI summary iconTóm tắt

expand icon
Một vụ tấn công vào tiền mã hóa đã xảy ra tại Matcha Meta thông qua hợp đồng định tuyến của SwapNet, với tổn thất ước tính từ 13 đến 17 triệu USD. CertiK và PeckShield lần lượt báo cáo số tiền bị đánh cắp là 13,3 triệu USD và 16,8 triệu USD. Các hacker đã đổi 10,5 triệu USDC lấy 3.655 ETH trên Base trước khi chuyển tiền sang Ethereum. Lỗ hổng này liên quan đến một cuộc gọi tùy ý trong hợp đồng 0xswapnet. Matcha Meta cho biết vụ vi phạm đến từ SwapNet, không phải hệ thống của họ, và yêu cầu người dùng hủy bỏ các quyền truy cập. Vụ tấn công sàn giao dịch này làm nổi bật những rủi ro an ninh DeFi vẫn đang tiếp diễn.
Matcha Meta Bị Hack Hợp Đồng Thông Minh Swapnet 16,8 Triệu USD

Giới thiệu
Vào Chủ nhật, Matcha Meta tiết lộ rằng một sự cố an ninh liên quan đến một trong những nhà cung cấp thanh khoản chính của họ, SwapNet, đã làm tổn hại đến những người dùng đã cấp phép cho hợp đồng router của SwapNet. Sự việc này làm nổi bật cách các thành phần có quyền truy cập trong hệ sinh thái trao đổi phi tập trung có thể trở thành các điểm tấn công ngay cả khi cơ sở hạ tầng cốt lõi vẫn còn nguyên vẹn. Các đánh giá ban đầu từ cộng đồng công khai ước tính tổn thất nằm trong khoảng từ 13 triệu đến 17 triệu USD, với hoạt động trên chuỗi tập trung vào mạng Base và các chuyển động xuyên chuỗi hướng tới EthereumViệc tiết lộ đã thúc đẩy các yêu cầu của người dùng để thu hồi quyền phê duyệt và làm gia tăng sự giám sát chặt chẽ hơn về cách hợp đồng thông minh bị phơi bày với các bộ định tuyến bên ngoài được bảo vệ như thế nào.

Những điểm chính cần ghi nhớ

  • Lỗ hổng bắt nguồn từ hợp đồng bộ định tuyến của SwapNet, khiến người dùng phải khẩn cấp thu hồi quyền phê duyệt để ngăn chặn những tổn thất thêm nữa.
  • Các ước tính về số tiền bị đánh cắp khác nhau: CertiK báo cáo khoảng 13,3 triệu USD, trong khi PeckShield thống kê ít nhất 16,8 triệu USD trên mạng Base.
  • Trên Base, người tấn công đã đổi khoảng 10,5 triệu USDC lấy khoảng 3.655 ETH và bắt đầu chuyển tiền sang Ethereum.
  • CertiK cho rằng lỗ hổng này xuất phát từ một cuộc gọi tùy ý trong hợp đồng 0xswapnet, điều này cho phép người tấn công chuyển các khoản tiền đã được phê duyệt sang cho họ.
  • Matcha Meta cho biết việc phơi bày này liên quan đến SwapNet chứ không phải hạ tầng của họ, và các quan chức vẫn chưa cung cấp thông tin chi tiết về bồi thường hoặc các biện pháp bảo vệ.
  • Những điểm yếu trong hợp đồng thông minh tiếp tục là yếu tố chủ đạo dẫn đến các cuộc tấn công tiền mã hóa, chiếm 30,5% các sự kiện vào năm 2025, theo báo cáo an ninh hàng năm của SlowMist.

Các mã được đề cập

Các mã được đề cập: Tiền điện tử → USDC, ETH, TRU

Tâm trạng

Tâm trạng: Trung lập

Tác động giá

Tác động giá: Âm tính. Sự vi phạm này làm nổi bật các rủi ro an ninh đang diễn ra trong DeFi và có thể ảnh hưởng đến tâm lý rủi ro xung quanh việc cung cấp thanh khoản có trách nhiệm và quản lý phê duyệt.

Ý tưởng giao dịch (Không phải là lời khuyên tài chính)

Ý tưởng giao dịch (Không phải là lời khuyên tài chính): Giữ lại. Sự việc này liên quan đến một con đường phê duyệt bộ định tuyến và không trực tiếp ngụ ý rủi ro hệ thống rộng lớn hơn đối với tất cả các giao thức DeFi, nhưng nó đáng để cẩn trọng trong việc quản lý phê duyệt và thanh khoản đa chuỗi.

Bối cảnh thị trường

Bối cảnh thị trường: Sự kiện diễn ra trong bối cảnh sự quan tâm đến an ninh DeFi và hoạt động xuyên chuỗi đang gia tăng, nơi các nhà cung cấp thanh khoản và các nhà tổng hợp ngày càng dựa vào các thành phần mô-đun. Nó cũng diễn ra trong bối cảnh các cuộc thảo luận về quản trị trên chuỗi, kiểm toán và nhu cầu về các biện pháp bảo vệ vững chắc đang thay đổi, khi các giao thức hàng đầu và các đối thủ mới cạnh tranh để giành được sự tin tưởng của người dùng.

Tại sao nó quan trọng

Tại sao nó quan trọng

Các sự cố an ninh tại các trung tâm giao dịch DeFi cho thấy rõ những rủi ro vẫn còn tồn tại khi nhiều lớp giao thức tương tác với nhau. Trong trường hợp này, vụ rò rỉ thông tin được cho là do một lỗ hổng trong hợp đồng router của SwapNet chứ không phải kiến trúc cốt lõi của Matcha Meta, điều này làm nổi bật cách phân bổ niềm tin giữa các thành phần đối tác trong một hệ sinh thái có thể tích hợp. Đối với người dùng, sự việc này là một lời nhắc nhở để thường xuyên xem xét và hủy bỏ các quyền truy cập token, đặc biệt là sau khi phát hiện các hoạt động bất thường trên chuỗi.

Tác động tài chính, mặc dù vẫn đang phát triển, củng cố tầm quan trọng của việc sàng lọc kỹ lưỡng các nhà cung cấp thanh khoản bên ngoài và nhu cầu giám sát theo thời gian thực các luồng phê duyệt. Việc các đối tượng tấn công có thể chuyển đổi một phần lớn số tiền bị đánh cắp thành stablecoin và sau đó chuyển tài sản sang Ethereum cho thấy các yếu tố liên chuỗi làm phức tạp hóa công tác truy vết và nỗ lực bồi thường sau sự cố. Các sàn giao dịch và các nhà nghiên cứu an ninh nhấn mạnh giá trị của các phạm vi quyền hạn chi tiết, có thời hạn và khả năng thu hồi sớm để hạn chế mức độ ảnh hưởng của các cuộc tấn công như vậy.

Từ góc độ thị trường, sự việc này góp phần vào một câu chuyện lớn hơn về tính mong manh của nền tảng tài chính phi tập trung và cuộc đua không ngừng để triển khai các biện pháp đảm bảo an toàn, có thể kiểm toán trên các lớp của hệ sinh thái DeFi. Dù không phải là một cáo buộc hệ thống đối với Matcha Meta, sự việc này làm gia tăng yêu cầu về các cuộc kiểm toán an ninh tiêu chuẩn hóa cho các hợp đồng định tuyến và trách nhiệm rõ ràng hơn đối với các mô-đun bên thứ ba tương tác với quỹ của người dùng.

Xem gì tiếp theo

Xem gì tiếp theo

  • Cập nhật chính thức của Matcha Meta về nguyên nhân gốc rễ và các kế hoạch khắc phục hoặc bồi thường cho người dùng bị ảnh hưởng.
  • Bất kỳ cuộc kiểm toán bên ngoài nào hoặc đánh giá từ bên thứ ba về hợp đồng bộ định tuyến của SwapNet và các thay đổi quản trị để ngăn chặn việc tái diễn.
  • Giám sát trên chuỗi hoạt động của cầu nối Base sang Ethereum liên quan đến sự việc này và các khoản tiền chuyển sau đó.
  • Các bước phát triển về quy định và tiêu chuẩn ngành xung quanh an ninh DeFi, đặc biệt là các khung đánh giá hợp đồng thông minh và các biện pháp kiểm soát phê duyệt người dùng.

Nguồn và xác minh

  • Bài đăng của Matcha Meta trên X cảnh báo người dùng hủy bỏ các phê duyệt SwapNet sau sự cố rò rỉ.
  • Tư vấn của CertiK xác định lỗ hổng này xuất phát từ một cuộc gọi tùy ý trong hợp đồng 0xswapnet cho phép chuyển tiền đã được phê duyệt.
  • Cập nhật của PeckShield ghi nhận khoảng 16,8 triệu USD bị rút trên Base, bao gồm việc đổi USDC lấy ETH và chuyển cầu sang Ethereum.
  • Báo cáo hàng năm về an ninh blockchain và chống rửa tiền năm 2025 của SlowMist chi tiết về tỷ lệ sự cố theo từng danh mục, bao gồm 30,5% thuộc về các lỗ hổng hợp đồng thông minh và 24% thuộc về việc xâm nhập tài khoản.
  • Cointelegraph bài viết về sự việc Truebit, bao gồm khoản lỗ 26 triệu USD và sự sụt giảm của token TRU, để có bối cảnh rộng hơn về rủi ro liên quan đến hợp đồng thông minh.

Nội dung bài viết được viết lại

Vi phạm an ninh tại Matcha Meta làm nổi bật rủi ro hợp đồng thông minh trong hệ sinh thái DEX

Trong ví dụ gần đây nhất cho thấy DeFi có thể bị xâm phạm từ bên trong, Matcha Meta đã tiết lộ rằng một sự vi phạm an ninh đã xảy ra thông qua một trong những con đường cung cấp thanh khoản chính của nó—hợp đồng router của SwapNet. Hậu quả đối với người dùng là việc thu hồi các phê duyệt token, điều mà giao thức đã công khai kêu gọi trong bài đăng công khai của mình. Sự vi phạm này dường như không xuất phát từ cơ sở hạ tầng cốt lõi của Matcha Meta, công ty cho biết, mà thay vào đó là từ một lỗ hổng trong lớp router của đối tác, cho phép cấp quyền di chuyển tiền của người dùng thay mặt họ.

Các ước tính ban đầu từ các nhà nghiên cứu an ninh cho thấy tác động tài chính nằm trong một khoảng hẹp. CertiK đã lượng hóa các khoản lỗ ở mức khoảng 13,3 triệu USD, trong khi PeckShield báo cáo một con số tối thiểu cao hơn là 16,8 triệu USD trên mạng Base. Sự khác biệt này phản ánh các phương pháp kế toán trên chuỗi khác nhau và thời điểm đánh giá sau sự cố, nhưng cả hai phân tích đều xác nhận một khoản lỗ đáng kể liên quan đến chức năng router của SwapNet. Trên Base, người tấn công được cho là đã trao đổi khoảng 10,5 triệu USDC (CRYPTO: USDC) để nhận được khoảng 3.655 ETH (CRYPTO: ETH) và bắt đầu chuyển các khoản thu về Ethereum, theo thông báo của PeckShield đăng trên X.

Cho đến nay, khoảng 16,8 triệu USD tiền mã hóa đã bị rút mất. Trên Base, người tấn công đã đổi khoảng 10,5 triệu USDC lấy khoảng 3.655 ETH và đã bắt đầu chuyển tiền qua cầu sang Ethereum.

Đánh giá của CertiK cung cấp một lời giải thích kỹ thuật cho vụ khai thác: một cuộc gọi tùy ý trong hợp đồng 0xswapnet đã cho phép người tấn công rút các khoản tiền mà người dùng đã phê duyệt, hiệu quả là bỏ qua việc đánh cắp trực tiếp từ pool thanh khoản của SwapNet và thay vào đó tận dụng các quyền được cấp cho router. Sự khác biệt này quan trọng vì nó chỉ ra một lỗi quản trị hoặc thiết kế ở tầng tích hợp thay vì là sự vi phạm quyền quản lý hoặc các biện pháp bảo mật của Matcha Meta.

Matcha Meta thừa nhận việc tiết lộ thông tin liên quan đến SwapNet và không gán lỗi cho chính cơ sở hạ tầng của mình. Những nỗ lực tìm kiếm bình luận về các cơ chế bồi thường hoặc các biện pháp bảo vệ chưa được trả lời ngay lập tức, để lại người dùng bị ảnh hưởng không có hướng khắc phục rõ ràng trong thời gian gần. Sự việc này minh họa cho một hồ sơ rủi ro rộng lớn hơn đối với các trình tổng hợp DEX: khi các đối tác giới thiệu các giao diện hợp đồng mới, các đối tượng tấn công có thể nhắm vào các luồng có thẩm quyền nằm ở giao điểm giữa các sự chấp thuận của người dùng và các giao dịch chuyển tiền tự động.

Bối cảnh an ninh rộng hơn trong lĩnh vực tiền mã hóa vẫn còn rất mong manh. Theo báo cáo hàng năm của SlowMist, vào năm 2025, các lỗ hổng hợp đồng thông minh là nguyên nhân hàng đầu gây ra các cuộc tấn công vào tiền mã hóa, chiếm 30,5% các sự kiện và tổng cộng 56 sự việc. Tỷ lệ này cho thấy ngay cả các dự án phức tạp cũng có thể bị làm phiền bởi các lỗi ngoại vi hoặc cấu hình sai trong mã điều khiển việc chuyển giá trị tự động. Việc xâm nhập tài khoản và các tài khoản mạng xã hội bị xâm phạm (ví dụ như các tài khoản X của nạn nhân) cũng chiếm một tỷ lệ đáng kể trong các sự kiện, nhấn mạnh tính đa hướng của công cụ mà các nhà tấn công sử dụng.

Ngoài các khía cạnh kỹ thuật thuần túy, sự việc này còn góp phần vào một cuộc tranh luận ngày càng gia tăng xung quanh việc sử dụng trí tuệ nhân tạo trong an ninh hợp đồng thông minh. Báo cáo của DECEMBER ghi nhận rằng các đại lý AI có sẵn trên thị trường đã phát hiện khoảng 4,6 triệu USD giá trị khai thác trên chuỗi trong thời gian thực, sử dụng các công cụ như Claude Opus 4.5, Claude Sonnet 4.5 và GPT-5 của OpenAI. Việc xuất hiện các kỹ thuật thăm dò và khai thác được hỗ trợ bởi AI đã thêm một lớp phức tạp vào việc đánh giá rủi ro cho cả các kiểm toán viên và nhà vận hành. Bối cảnh mối đe dọa đang thay đổi này củng cố nhu cầu giám sát liên tục, thu hồi quyền hạn nhanh chóng và các biện pháp phòng thủ linh hoạt trong các hệ sinh thái DeFi.

Hai tuần trước sự cố SwapNet, một lỗ hổng hợp đồng thông minh nổi bật khác đã khiến giao thức Truebit chịu thiệt hại 26 triệu USD, theo sau là phản ứng giá TRU token (CRYPTO: TRU) giảm mạnh. Những sự kiện như vậy nhấn mạnh thực tế rằng lớp hợp đồng thông minh vẫn là bề mặt tấn công hàng đầu cho tin tặc, ngay cả khi các lĩnh vực khác trong không gian tiền điện tử—bảo quản, cơ sở hạ tầng tập trung và các thành phần ngoài chuỗi—cũng đối mặt với những mối đe dọa dai dẳng. Chủ đề lặp đi lặp lại là quản lý rủi ro phải vượt ra ngoài việc kiểm toán và thưởng lỗi để bao gồm quản trị trực tiếp, giám sát theo thời gian thực, và các hành vi thận trọng của người dùng liên quan đến việc phê duyệt và di chuyển qua chuỗi.

Khi thị trường tiếp thu những hệ quả, các nhà quan sát nhấn mạnh rằng con đường hướng tới khả năng phục hồi trong DeFi dựa vào các biện pháp bảo vệ đa lớp và phản ứng minh bạch đối với sự cố. Dù lỗ hổng của SwapNet dường như chỉ giới hạn ở một tích hợp cụ thể, sự việc này củng cố lại một bài học trung tâm: ngay cả những đối tác đáng tin cậy cũng có thể gây ra rủi ro hệ thống nếu hợp đồng của họ tương tác với quỹ người dùng theo cách bỏ qua các biện pháp bảo vệ tiêu chuẩn. Hồ sơ trên chuỗi sẽ tiếp tục được tiết lộ khi các nhà điều tra, Matcha Meta và các đối tác thanh khoản của nó tiến hành đánh giá pháp lý và xác định xem các nạn nhân có nhận được bồi thường hay không, hoặc có cải tiến nào được thực hiện để tăng cường kiểm soát rủi ro nhằm ngăn chặn các sự cố tương tự trong tương lai.

Bài viết này ban đầu được công bố như Matcha Meta Bị Hack Hợp Đồng Thông Minh SwapNet 16,8 Triệu USD vào Tin tức nóng về tiền điện tử – nguồn tin cậy cung cấp tin tức tiền điện tử, tin tức Bitcoin và cập nhật blockchain.

Nguồn:Hiển thị bản gốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể được lấy từ bên thứ ba và không nhất thiết phản ánh quan điểm hoặc ý kiến của KuCoin. Nội dung này chỉ được cung cấp cho mục đích thông tin chung, không có bất kỳ đại diện hay bảo đảm nào dưới bất kỳ hình thức nào và cũng không được hiểu là lời khuyên tài chính hay đầu tư. KuCoin sẽ không chịu trách nhiệm về bất kỳ sai sót hoặc thiếu sót nào hoặc về bất kỳ kết quả nào phát sinh từ việc sử dụng thông tin này. Việc đầu tư vào tài sản kỹ thuật số có thể tiềm ẩn nhiều rủi ro. Vui lòng đánh giá cẩn thận rủi ro của sản phẩm và khả năng chấp nhận rủi ro của bạn dựa trên hoàn cảnh tài chính của chính bạn. Để biết thêm thông tin, vui lòng tham khảo Điều khoản sử dụngTiết lộ rủi ro của chúng tôi.