Matcha Meta ถูกโจมตีด้วยการแฮ็กสัญญาอัจฉริยะ SwapNet มูลค่า 16.8 ล้านดอลลาร์

บทนำ
เมื่อวันอาทิตย์ Matcha Meta เปิดเผยว่าช่องโหว่ด้านความปลอดภัยที่เชื่อมโยงกับผู้ให้สภาพคล่องหลักรายหนึ่ง คือ SwapNet ได้ส่งผลกระทบต่อผู้ใช้ที่ได้อนุมัติให้สัญญาเราเตอร์ของ SwapNet เข้าถึงได้ เหตุการณ์นี้เน้นย้ำว่าส่วนประกอบที่ได้รับอนุญาตภายในระบบนิเวศตลาดแลกเปลี่ยนแบบกระจายอำนาจสามารถกลายเป็นช่องทางการโจมตีได้ แม้ว่าโครงสร้างหลักจะยังคงอยู่ครบถ้วน การประเมินเบื้องต้นจากสาธารณะระบุความสูญเสียอยู่ในช่วงประมาณ 13 ล้านถึง 17 ล้านดอลลาร์ โดยกิจกรรมออนเชนมุ่งเน้นไปที่เครือข่าย Base และการเคลื่อนย้ายข้ามเชนไปยัง Ethereum การเปิดเผยนี้กระตุ้นให้ผู้ใช้เพิกถอนการอนุมัติและเพิ่มการตรวจสอบวิธีการปกป้องสัญญาอัจฉริยะที่เปิดเผยต่อเราเตอร์ภายนอก

ประเด็นสำคัญ

• ช่องโหว่เกิดขึ้นผ่านสัญญาเราเตอร์ของ SwapNet กระตุ้นให้มีการเรียกร้องอย่างเร่งด่วนให้ผู้ใช้เพิกถอนการอนุมัติเพื่อป้องกันความสูญเสียเพิ่มเติม
• การประมาณเงินที่ถูกขโมยแตกต่างกัน: CertiK รายงานประมาณ 13.3 ล้านดอลลาร์ ในขณะที่ PeckShield นับอย่างน้อย 16.8 ล้านดอลลาร์บนเครือข่าย Base
• บน Base ผู้โจมตีแลกประมาณ 10.5 ล้าน USDC เป็นประมาณ 3,655 ETH และเริ่มบริดจ์เงินไปยัง Ethereum
• CertiK ระบุว่าช่องโหว่เกิดจากการเรียกแบบอาร์บิทรารีในสัญญา 0xswapnet ซึ่งอนุญาตให้ผู้โจมตีโอนเงินที่ได้รับการอนุมัติไปแล้ว
• Matcha Meta ระบุว่าการเปิดเผยเชื่อมโยงกับ SwapNet มากกว่าโครงสร้างของตนเอง และเจ้าหน้าที่ยังไม่ได้ให้รายละเอียดเกี่ยวกับการชดเชยหรือมาตรการป้องกัน
• จุดอ่อนของสัญญาอัจฉริยะยังคงเป็นตัวขับเคลื่อนหลักของการโจมตีคริปโต คิดเป็น 30.5% ของเหตุการณ์ในปี 2025 ตามรายงานความปลอดภัยประจำปีของ SlowMist

สัญลักษณ์ที่กล่าวถึง

สัญลักษณ์ที่กล่าวถึง: Crypto → USDC, ETH, TRU

ความเชื่อมั่น

ความเชื่อมั่น: เป็นกลาง

ผลกระทบต่อราคา

ผลกระทบต่อราคา: เชิงลบ การละเมิดเน้นย้ำความเสี่ยงด้านความปลอดภัยที่ดำเนินอยู่ใน DeFi และสามารถมีอิทธิพลต่อความเชื่อมั่นด้านความเสี่ยงเกี่ยวกับการให้สภาพคล่องที่รับผิดชอบและการจัดการการอนุมัติ

แนวคิดการเทรด (ไม่ใช่คำแนะนำทางการเงิน)

แนวคิดการเทรด (ไม่ใช่คำแนะนำทางการเงิน): ถือ เหตุการณ์นี้เฉพาะเจาะจงกับเส้นทางการอนุมัติเราเตอร์และไม่ได้บ่งบอกถึงความเสี่ยงเชิงระบบที่กว้างขึ้นต่อโปรโตคอล DeFi ทั้งหมดโดยตรง แต่ควรระมัดระวังเกี่ยวกับการจัดการการอนุมัติและสภาพคล่องข้ามเชน

บริบทตลาด

บริบทตลาด: เหตุการณ์นี้เกิดขึ้นท่ามกลางความสนใจที่เพิ่มขึ้นต่อความปลอดภัยของ DeFi และกิจกรรมข้ามเชน ซึ่งผู้ให้สภาพคล่องและตัวรวมพึ่งพาส่วนประกอบแบบโมดูลาร์มากขึ้น นอกจากนี้ยังเกิดขึ้นท่ามกลางบริบทของการอภิปรายที่เปลี่ยนแปลงเกี่ยวกับการกำกับดูแลออนเชน การตรวจสอบ และความจำเป็นในการป้องกันที่แข็งแกร่งเมื่อโปรโตคอลบลูชิปและผู้เข้าร่วมใหม่แข่งขันเพื่อความไว้วางใจของผู้ใช้

เหตุใดจึงสำคัญ

เหตุใดจึงสำคัญ

เหตุการณ์ด้านความปลอดภัยที่ตัวรวม DeFi แสดงให้เห็นถึงพื้นผิวความเสี่ยงที่ยังคงอยู่เมื่อชั้นโปรโตคอลหลายชั้นมีปฏิสัมพันธ์กัน ในกรณีนี้ การละเมิดถูกระบุว่าเกิดจากช่องโหว่ในสัญญาเราเตอร์ของ SwapNet มากกว่าสถาปัตยกรรมหลักของ Matcha Meta เน้นย้ำว่าความไว้วางใจถูกกระจายไปทั่วส่วนประกอบพันธมิตรในระบบนิเวศที่สามารถรวมกันได้ สำหรับผู้ใช้ เหตุการณ์นี้เป็นการเตือนให้ตรวจสอบและเพิกถอนการอนุมัติโทเค็นเป็นประจำ โดยเฉพาะหลังจากมีความสงสัยเกี่ยวกับกิจกรรมออนเชนที่ผิดปกติ

ผลกระทบทางการเงินแม้ว่ายังคงพัฒนาอยู่ เน้นย้ำความสำคัญของการตรวจสอบอย่างเข้มงวดของผู้ให้สภาพคล่องภายนอกและความจำเป็นในการตรวจสอบขั้นตอนการอนุมัติแบบเรียลไทม์ ความจริงที่ว่าผู้โจมตีสามารถแปลงส่วนหนึ่งของเงินที่ถูกขโมยเป็นสเตเบิลคอยน์และบริดจ์สินทรัพย์ไปยัง Ethereum เน้นย้ำถึงพลวัตข้ามเชนที่ทำให้การติดตามและความพยายามในการชดใช้หลังเหตุการณ์ซับซ้อนขึ้น ตลาดแลกเปลี่ยนและนักวิจัยด้านความปลอดภัยเน้นย้ำถึงคุณค่าของขอบเขตสิทธิ์แบบละเอียดและมีกำหนดเวลา และความสามารถในการเพิกถอนเร็วเพื่อจำกัดรัศมีการระเบิดของการโจมตีดังกล่าว

จากมุมมองตลาด เหตุการณ์นี้เพิ่มเติมบรรยายที่กว้างขึ้นเกี่ยวกับความเปราะบางของการเงินแบบไม่ต้องขออนุญาตและการแข่งขันที่ดำเนินอยู่เพื่อนำมาตรการป้องกันที่แข็งแกร่งและตรวจสอบได้ไปใช้ในทุกชั้นของระบบนิเวศ DeFi แม้ว่าจะไม่ใช่การตำหนิเชิงระบบของ Matcha Meta เหตุการณ์นี้ทำให้มีการเรียกร้องอย่างเข้มข้นสำหรับการตรวจสอบความปลอดภัยที่เป็นมาตรฐานของสัญญาเราเตอร์และความรับผิดชอบที่ชัดเจนขึ้นสำหรับโมดูลบุคคลที่สามที่มีปฏิสัมพันธ์กับเงินของผู้ใช้

สิ่งที่ต้องจับตามองต่อไป

สิ่งที่ต้องจับตามองต่อไป

• การอัปเดตอย่างเป็นทางการของ Matcha Meta เกี่ยวกับสาเหตุหลักและแผนการแก้ไขหรือชดเชยใด ๆ สำหรับผู้ใช้ที่ได้รับผลกระทบ
• การตรวจสอบภายนอกหรือการตรวจสอบโดยบุคคลที่สามของสัญญาเราเตอร์ของ SwapNet และการเปลี่ยนแปลงการกำกับดูแลเพื่อป้องกันการเกิดซ้ำ
• การตรวจสอบออนเชนของกิจกรรมบริดจ์ Base-to-Ethereum ที่เกี่ยวข้องกับเหตุการณ์นี้และการเคลื่อนย้ายเงินที่ตามมา
• การพัฒนามาตรฐานกำกับดูแลและอุตสาหกรรมเกี่ยวกับความปลอดภัยของ DeFi โดยเฉพาะกรอบการตรวจสอบสัญญาอัจฉริยะและการควบคุมการอนุมัติของผู้ใช้

แหล่งข้อมูลและการตรวจสอบ

• โพสต์ของ Matcha Meta บน X เตือนผู้ใช้ให้เพิกถอนการอนุมัติ SwapNet หลังจากการละเมิด
• คำแนะนำของ CertiK ระบุการโจมตีว่าเกิดจากการเรียกแบบอาร์บิทรารีในสัญญา 0xswapnet ที่อนุญาตให้โอนเงินที่ได้รับการอนุมัติ
• การอัปเดตของ PeckShield ระบุประมาณ 16.8 ล้านดอลลาร์ถูกถอนบน Base รวมถึงการแลก USDC เป็น ETH และการบริดจ์ไปยัง Ethereum
• รายงานความปลอดภัยบล็อกเชนและ AML ประจำปี 2025 ของ SlowMist ให้รายละเอียดสัดส่วนของเหตุการณ์ตามหมวดหมู่ รวมถึง 30.5% ที่เกิดจากช่องโหว่ของสัญญาอัจฉริยะและ 24% จากการบุกรุกบัญชี
• การรายงานของ Cointelegraph เกี่ยวกับเหตุการณ์ Truebit รวมถึงความสูญเสีย 26 ล้านดอลลาร์และการลดลงของโทเค็น TRU สำหรับบริบทที่กว้างขึ้นเกี่ยวกับการเปิดเผยความเสี่ยงของสัญญาอัจฉริยะ

เนื้อหาบทความที่เขียนใหม่

การละเมิดความปลอดภัยที่ Matcha Meta เน้นย้ำความเสี่ยงของสัญญาอัจฉริยะในระบบนิเวศ DEX

ในตัวอย่างล่าสุดของวิธีที่ DeFi สามารถถูกบุกรุกจากภายใน Matcha Meta เปิดเผยว่าการละเมิดความปลอดภัยเกิดขึ้นผ่านหนึ่งในเส้นทางการให้สภาพคล่องหลัก คือ สัญญาเราเตอร์ของ SwapNet ผลที่ตามมาต่อผู้ใช้คือการเพิกถอนการอนุมัติโทเค็น ซึ่งโปรโตคอลเรียกร้องอย่างชัดเจนในโพสต์สาธารณะของตน การละเมิดดูเหมือนจะไม่ได้เกิดจากโครงสร้างหลักของ Matcha Meta บริษัทระบุ แต่มาจากช่องโหว่ในชั้นเราเตอร์ของพันธมิตรที่ให้สิทธิ์ในการย้ายเงินในนามของผู้ใช้

การประมาณเบื้องต้นจากนักวิจัยด้านความปลอดภัยระบุผลกระทบทางการเงินในช่วงแคบ CertiK คำนวณความสูญเสียประมาณ 13.3 ล้านดอลลาร์ ในขณะที่ PeckShield รายงานตัวเลขขั้นต่ำที่สูงกว่าที่ 16.8 ล้านดอลลาร์บนเครือข่าย Base ความแตกต่างสะท้อนวิธีการทางบัญชีออนเชนที่แตกต่างกันและเวลาของการตรวจสอบหลังเหตุการณ์ แต่การวิเคราะห์ทั้งสองยืนยันความสูญเสียที่มีนัยสำคัญที่เชื่อมโยงกับการทำงานของเราเตอร์ SwapNet บน Base ผู้โจมตีรายงานว่าได้แลกประมาณ 10.5 ล้าน USDC (CRYPTO: USDC) เป็นประมาณ 3,655 ETH (CRYPTO: ETH) และเริ่มบริดจ์เงินไปยัง Ethereum ตามประกาศของ PeckShield ที่โพสต์บน X

การประเมินของ CertiK ให้คำอธิบายทางเทคนิคสำหรับการโจมตี: การเรียกแบบอาร์บิทรารีในสัญญา 0xswapnet ทำให้ผู้โจมตีสามารถดึงเงินที่ผู้ใช้อนุมัติไปแล้ว โดยหลีกเลี่ยงการขโมยโดยตรงจากพูลสภาพคล่องของ SwapNet และใช้สิทธิ์ที่ให้กับเราเตอร์แทน ความแตกต่างนี้มีความสำคัญเพราะชี้ไปที่ข้อบกพร่องของการกำกับดูแลหรือการออกแบบในชั้นการรวมมากกว่าการละเมิดการควบคุมการดูแลหรือความปลอดภัยของ Matcha Meta เอง

Matcha Meta ยอมรับว่าการเปิดเผยเชื่อมโยงกับ SwapNet และไม่ได้ระบุว่าช่องโหว่เกิดจากโครงสร้างของตนเอง ความพยายามในการรักษาความคิดเห็นเกี่ยวกับกลไกการชดเชยหรือมาตรการป้องกันไม่ได้รับการตอบกลับทันที ทำให้ผู้ใช้ที่ได้รับผลกระทบไม่มีเส้นทางการแก้ไขที่ชัดเจนในระยะใกล้ เหตุการณ์นี้แสดงให้เห็นโปรไฟล์ความเสี่ยงที่กว้างขึ้นสำหรับตัวรวม DEX: เมื่อความเป็นหุ้นส่วนนำอินเทอร์เฟซสัญญาใหม่เข้ามา ผู้โจมตีอาจกำหนดเป้าหมายขั้นตอนที่ได้รับอนุญาตซึ่งอยู่ที่จุดตัดของการอนุมัติผู้ใช้และการโอนเงินอัตโนมัติ

ภูมิทัศน์ความปลอดภัยที่กว้างขึ้นในคริปโตยังคงมีความเสี่ยงอย่างหนักแน่น ในปี 2025 ช่องโหว่ของสัญญาอัจฉริยะเป็นสาเหตุหลักของการโจมตีคริปโต คิดเป็น 30.5% ของเหตุการณ์และ 56 เหตุการณ์ทั้งหมด ตามรายงานประจำปีของ SlowMist สัดส่วนนี้เน้นย้ำว่าแม้แต่โครงการที่ซับซ้อนก็สามารถถูกสะดุดโดยบั๊กในกรณีพิเศษหรือการกำหนดค่าผิดในโค้ดที่ควบคุมการโอนมูลค่าอัตโนมัติ การบุกรุกบัญชีและบัญชีโซเชียลที่ถูกบุกรุก (เช่น แฮนเดิล X ของเหยื่อ) ก็แสดงส่วนหนึ่งของเหตุการณ์ที่มีขนาดใหญ่เช่นกัน เน้นย้ำลักษณะหลายเวกเตอร์ของชุดเครื่องมือของผู้โจมตี

นอกเหนือจากมุมมองทางเทคนิคล้วน ๆ เหตุการณ์นี้ป้อนเข้าสู่วาทกรรมที่เติบโตเกี่ยวกับการใช้ปัญญาประดิษฐ์ในความปลอดภัยของสัญญาอัจฉริยะ รายงานเดือนธันวาคมระบุว่าตัวแทน AI ที่มีจำหน่ายเชิงพาณิชย์ค้นพบการโจมตีออนเชนมูลค่าประมาณ 4.6 ล้านดอลลาร์แบบเรียลไทม์ โดยใช้เครื่องมือเช่น Claude Opus 4.5, Claude Sonnet 4.5 และ OpenAI's GPT-5 การเกิดขึ้นของเทคนิคการสำรวจและการโจมตีที่เปิดใช้งาน AI เพิ่มชั้นความซับซ้อนในการประเมินความเสี่ยงสำหรับผู้ตรวจสอบและผู้ดำเนินการเหมือนกัน ภูมิทัศน์การคุกคามที่พัฒนานี้เน้นย้ำความจำเป็นในการตรวจสอบอย่างต่อเนื่อง การเพิกถอนสิทธิ์อย่างรวดเร็ว และมาตรการป้องกันที่ปรับเปลี่ยนได้ในระบบนิเวศ DeFi

สองสัปดาห์ก่อนเหตุการณ์ SwapNet ช่องโหว่ของสัญญาอัจฉริยะที่มีชื่อเสียงอีกรายหนึ่งส่งผลให้เกิดความสูญเสีย 26 ล้านดอลลาร์สำหรับโปรโตคอล Truebit ตามด้วยปฏิกิริยาราคาที่สูงชันในโทเค็น TRU (CRYPTO: TRU) เหตุการณ์ดังกล่าวเน้นย้ำความจริงที่ว่าชั้นสัญญาอัจฉริยะยังคงเป็นพื้นผิวการโจมตีหลักสำหรับแฮกเกอร์ แม้ว่าโดเมนอื่น ๆ ในขอบเขตคริปโต—การดูแล โครงสร้างที่รวมศูนย์ และส่วนประกอบนอกเชน—ก็เผชิญกับภัยคุกคามที่ยังคงอยู่เช่นกัน ธีมที่เกิดซ้ำคือการจัดการความเสี่ยงต้องขยายนอกเหนือการตรวจสอบและเงินรางวัลบั๊กเพื่อรวมการกำกับดูแลแบบสด การตรวจสอบแบบเรียลไทม์ และการปฏิบัติของผู้ใช้ที่รอบคอบเกี่ยวกับการอนุมัติและการเคลื่อนย้ายข้ามเชน

ขณะที่ตลาดย่อยข้อมูลผลกระทบ ผู้สังเกตการณ์เน้นย้ำว่าเส้นทางสู่ความยืดหยุ่นใน DeFi อาศัยการป้องกันแบบชั้นและการตอบสนองเหตุการณ์ที่โปร่งใส แม้ว่าช่องโหว่ของ SwapNet ดูเหมือนจะแยกออกไปยังการรวมเฉพาะ เหตุการณ์นี้เน้นย้ำบทเรียนหลัก: แม้แต่พันธมิตรที่เชื่อถือได้ก็สามารถนำความเสี่ยงเชิงระบบมาได้หากสัญญาของพวกเขามีปฏิสัมพันธ์กับเงินของผู้ใช้ในลักษณะที่หลีกเลี่ยงมาตรการป้องกันมาตรฐาน บันทึกออนเชนจะดำเนินต่อไปเมื่อนักสืบ Matcha Meta และพันธมิตรสภาพคล่องดำเนินการตรวจสอบนิติวิทยาศาสตร์และตัดสินใจว่าเหยื่อจะได้รับการชดเชยหรือการปรับปรุงการควบคุมความเสี่ยงที่สามารถป้องกันเหตุการณ์ที่คล้ายกันในอนาคตหรือไม่

บทความนี้เผยแพร่ครั้งแรกในชื่อ Matcha Meta Hit by $16.8M SwapNet Smart Contract Hack บน Crypto Breaking News – แหล่งข้อมูลที่เชื่อถือได้สำหรับข่าวคริปโต ข่าว Bitcoin และอัปเดตบล็อกเชน