Matcha Meta公司遭黑客攻击损失244亿韩元…因"直接授权"引发安全惨剧

基于DeFi的交易聚合平台Matcha Meta发生安全事件，约1680万美元加密货币遭窃

此次事件并非发生在Matcha Meta的核心基础设施，而是源自外部流动性供应商SwapNet。问题始于部分Matcha Meta用户在关闭“一次性授权”功能的情况下，直接向独立聚合器合约授予了代币使用权限。Matcha Meta于25日通过官方X平台公布了这一事实，并警告称禁用该功能的用户可能遭受损失。SwapNet团队目前已临时暂停相关智能合约。

区块链安全公司PeckShield指出，黑客首先在Base网络将价值1050万美元的USDC兑换为3655枚ETH，随后通过跨链桥将资产转移至以太坊。总损失规模约为1680万美元。

另一家安全机构CertiK表示，已追踪到本次攻击中使用的某个钱包地址提取了约1330万美元的USDC。此次攻击源于SwapNet合约存在的“任意调用超额权限”漏洞，分析认为黑客利用了受害者此前已授权的权限窃取资产。

Matcha Meta方面强调，黑客的攻击路径并非针对其一次性授权系统，而是瞄准了选择直接授权的用户。Matcha Meta的一次性授权功能基于0x协议的“AllowanceHolder”或“Settler”合约构建，限制用户仅授予单次小额交易权限。

协议团队在事件后确认，使用该系统的用户并未遭受损失，同时表示未来将删除Matcha Meta平台上的直接代币授权功能。

DeFi安全漏洞再引关注

此次黑客事件再次暴露了DeFi生态长期存在的安全隐患。业界持续警告，与智能合约交互所必需的“代币授权”功能，若用户授权范围长期有效，可能被第三方恶意利用。

截至2025年，智能合约漏洞已占加密货币黑客损失总额的约30%，成为最主要的事故原因。区块链安全公司SlowMist发布的年度报告分析指出，随着人工智能技术发展，黑客对资产的追踪及攻击速度正进一步提升。

仅在今年1月，DeFi项目便连续遭遇攻击：IPOR Labs在Arbitrum上损失超过33.6万美元；Truebit因超8500枚ETH被盗导致币价暴跌；Layer1区块链Saga因涉及700万美元的资产泄露事件，一度暂停其EVM链运行。

尽管DeFi的自律性与灵活性备受认可，但用户权限设置方式带来的安全风险未来很可能反复出现。Matcha Meta黑客事件将成为提醒DeFi参与者重视基础安全设置的典型案例。