駭客在去中心化金融（DeFi）安全事件中盜取 Matcha Meta 用戶 1700 萬美元

一名駭客從0x所建的去中心化金融（DeFi）交易所元聚合器Matcha Meta的用戶那裡盜取了價值近1700萬美元的加密貨幣。 這起攻擊於1月25日下午5:10左右倫敦時間開始。加密貨幣安全公司Peckshield是數家報導此事件的公司之一， 特徵為 將其視為安全漏洞。 晚上9:47，Matcha Meta 已確認 在X貼文中的攻擊。它表示，這起事件是因為SwapNet，一個與協議整合的交易所聚合器。 Matcha Meta表示，那些交易是通過SwapNet路由且關閉了一次性批准的用戶有風險，並建議用戶作為預防措施，撤銷對0x一次性批准合約以外所有個別聚合器的批准。 「此次事件的性質與0x的AllowanceHolder或Settler合約無關，」該項目 說道Matcha Meta 是業界所稱的元聚合商（meta aggregator）。簡單來說，它是一個為交易者提供一站式服務的平台，搜索所有去中心化交易所聚合商，為交易者找到交易成本最有效率的交易對象，僅收取少量費用。 DeFi 協議漏洞——特別是那些 瞄準 較舊的智能合約——在去中心化金融（DeFi）開發者和加密貨幣安全專家中是一個巨大的擔憂。 去年，黑客 滑動 根據區塊鏈安全公司Slowmist的一份報告，透過代碼漏洞利用獲得了6.49億美元以上。 無限授權 當DeFi用戶在以太坊等區塊鏈上交易加密貨幣時，他們必須首先簽署一筆初步交易，允許他們使用的交易所花費他們想要交易的代幣。 一些交易所和交易所聚合器允許用戶將此交易限制為僅針對用戶想要出售的數量的一次性授權。但他們也允許用戶手動設置無限授權，即使交易完成後仍然有效。 雖然這樣做可以加快交易速度並節省交易費用，但也會引入安全風險。在某些情況下，如果用戶授予無限授權的交易所遭到黑客攻擊或被利用，攻擊者可以利用此授權從用戶錢包中竊取代幣。 SwapNet似乎發生了類似的情況。 「根本原因似乎是攻擊者控制的任意調用，導致此合約的開放授權被耗盡，」DeFi安全研究員、倫敦大學學院的博士生Weilin Li表示， 說道 在 X 上。「這是我看過最大的批准攻擊（不包括釣魚）。」 目前尚不清楚駭客是如何獲取 SwapNet 的智能合約的存取權。SwapNet 尚未立即回應評論請求。 Tim Craig 是 DL News 位於愛丁堡的 DeFi 專欄作家。有線索可透過以下方式聯繫 tim@dlnews.com。