Matcha Meta bị tấn công bởi lỗ hổng hợp đồng thông minh SwapNet trị giá 16,8 triệu đô la

Giới thiệu Vào Chủ nhật, Matcha Meta tiết lộ rằng một vụ vi phạm an ninh liên quan đến một trong những nhà cung cấp thanh khoản chính của họ, SwapNet, đã làm lộ thông tin người dùng đã cấp quyền cho hợp đồng router của SwapNet. Sự cố này nhấn mạnh cách các thành phần có quyền trong hệ sinh thái sàn giao dịch phi tập trung có thể trở thành các vector tấn công ngay cả khi hạ tầng cốt lõi vẫn còn nguyên vẹn. Các đánh giá công khai ban đầu ước tính thiệt hại trong khoảng từ khoảng 13 triệu đến 17 triệu USD, với hoạt động trên chuỗi tập trung vào mạng Base và các chuyển động chéo chuỗi hướng tới Ethereum. Việc tiết lộ này đã thúc đẩy người dùng thu hồi quyền cấp phép và tăng cường giám sát cách các hợp đồng thông minh tiếp xúc với các router bên ngoài được bảo vệ như thế nào.

Các điểm chính

Vụ vi phạm bắt nguồn từ hợp đồng router của SwapNet, thúc đẩy lời kêu gọi khẩn cấp người dùng thu hồi quyền cấp phép để tránh thiệt hại thêm.

Ước tính số tiền bị đánh cắp khác nhau: CertiK báo cáo khoảng 13,3 triệu USD, trong khi PeckShield ước tính ít nhất 16,8 triệu USD trên mạng Base.

Trên Base, kẻ tấn công đã đổi khoảng 10,5 triệu USDC lấy khoảng 3.655 ETH và bắt đầu chuyển tiền sang Ethereum.

CertiK cho rằng lỗ hổng nằm ở một cuộc gọi tùy ý trong hợp đồng 0xswapnet, cho phép kẻ tấn công chuyển khoản đã được phê duyệt cho hợp đồng này.

Matcha Meta cho biết mức độ phơi nhiễm liên quan đến SwapNet chứ không phải hạ tầng của chính họ, và các quan chức vẫn chưa cung cấp chi tiết về bồi thường hoặc các biện pháp bảo vệ.

Các điểm yếu của hợp đồng thông minh vẫn tiếp tục là nguyên nhân chính gây ra các vụ khai thác crypto, chiếm 30,5% các sự cố trong năm 2025, theo báo cáo an ninh hàng năm của SlowMist.

Các mã ký hiệu được đề cập

Các mã ký hiệu đề cập: Crypto → USDC, ETH, TRU

Tâm lý thị trường

Tâm lý thị trường: Trung lập

Ảnh hưởng đến giá

Ảnh hưởng đến giá: Tiêu cực. Vụ vi phạm làm nổi bật các rủi ro an ninh liên tục trong DeFi và có thể ảnh hưởng đến tâm lý rủi ro liên quan đến cung cấp thanh khoản có trách nhiệm và quản lý quyền cấp phép.

Ý tưởng giao dịch (Không phải lời khuyên tài chính)

Ý tưởng giao dịch (Không phải lời khuyên tài chính): Giữ. Sự cố này liên quan đến đường dẫn cấp phép router và không trực tiếp ngụ ý rủi ro hệ thống rộng hơn đối với tất cả các giao thức DeFi, nhưng nó cần thận trọng về quản lý quyền cấp phép và thanh khoản chéo chuỗi.

Bối cảnh thị trường

Bối cảnh thị trường: Sự kiện diễn ra trong bối cảnh chú ý tăng cao đến an ninh DeFi và hoạt động chéo chuỗi, nơi các nhà cung cấp thanh khoản và các nhà tổng hợp ngày càng dựa vào các thành phần mô-đun. Nó cũng diễn ra trong bối cảnh các cuộc thảo luận về quản trị chuỗi, kiểm toán và nhu cầu về các biện pháp bảo vệ vững chắc khi các giao thức blue-chip và các đối thủ mới cạnh tranh để lấy lòng tin của người dùng.

Tại sao nó quan trọng

Tại sao nó quan trọng

Các sự cố an ninh tại các nhà tổng hợp DeFi minh họa các rủi ro tồn tại khi nhiều lớp giao thức tương tác với nhau. Trong trường hợp này, vụ vi phạm được quy cho lỗ hổng trong hợp đồng router của SwapNet chứ không phải kiến trúc cốt lõi của Matcha Meta, nhấn mạnh cách niềm tin được phân phối qua các thành phần đối tác trong một hệ sinh thái có thể ghép nối. Đối với người dùng, sự kiện này nhắc nhở họ thường xuyên xem xét và thu hồi quyền token, đặc biệt sau khi nghi ngờ hoạt động bất thường trên chuỗi.

Ảnh hưởng tài chính, dù vẫn đang diễn biến, củng cố tầm quan trọng của việc kiểm tra kỹ lưỡng các nhà cung cấp thanh khoản bên ngoài và theo dõi quyền cấp phép theo thời gian thực. Việc kẻ tấn công có thể chuyển đổi phần lớn số tiền bị đánh cắp thành stablecoin rồi chuyển sang Ethereum làm nổi bật các đặc điểm của hoạt động chéo chuỗi, làm phức tạp khả năng truy vết và hoàn trả sau sự cố. Các sàn giao dịch và nhà nghiên cứu an ninh nhấn mạnh giá trị của phạm vi quyền hạn chi tiết, có thời hạn và khả năng thu hồi sớm để hạn chế phạm vi thiệt hại của các vụ khai thác như vậy.

Từ góc độ thị trường, sự kiện này góp phần vào câu chuyện rộng hơn về tính mong manh của tài chính không phép và cuộc đua liên tục để triển khai các biện pháp bảo vệ vững chắc, có thể kiểm toán trên các lớp của hệ sinh thái DeFi. Mặc dù không phải là một cáo buộc hệ thống đối với Matcha Meta, vụ việc này làm tăng các yêu cầu về kiểm toán an ninh tiêu chuẩn cho các hợp đồng router và trách nhiệm rõ ràng hơn đối với các mô-đun bên thứ ba tương tác với quỹ người dùng.

Những điều cần theo dõi tiếp theo

Những điều cần theo dõi tiếp theo

Các cập nhật chính thức của Matcha Meta về nguyên nhân gốc rễ và bất kỳ kế hoạch khắc phục hoặc bồi thường nào cho người dùng bị ảnh hưởng.

Bất kỳ kiểm toán bên ngoài hoặc đánh giá của bên thứ ba nào về hợp đồng router của SwapNet và các thay đổi quản trị nhằm ngăn chặn tái diễn.

Giám sát trên chuỗi hoạt động của cầu nối Base-đến-Ethereum liên quan đến vụ việc này và các chuyển động quỹ sau đó.

Các phát triển về quy định và tiêu chuẩn ngành liên quan đến an ninh DeFi, đặc biệt là các khung kiểm toán hợp đồng thông minh và kiểm soát phê duyệt của người dùng.

Nguồn & xác minh

Bài đăng của Matcha Meta trên X cảnh báo người dùng thu hồi quyền SwapNet sau vụ vi phạm.

Tư vấn của CertiK xác định rằng vụ khai thác bắt nguồn từ một cuộc gọi tùy ý trong hợp đồng 0xswapnet cho phép chuyển khoản các quỹ đã được phê duyệt.

Cập nhật của PeckShield ghi nhận khoảng 16,8 triệu USD bị rút khỏi mạng Base, bao gồm việc đổi USDC lấy ETH và chuyển sang Ethereum.

Báo cáo An ninh Blockchain và AML hàng năm 2025 của SlowMist chi tiết tỷ lệ các sự cố theo loại, trong đó 30,5% liên quan đến lỗ hổng hợp đồng thông minh và 24% liên quan đến xâm phạm tài khoản.

Báo cáo của Cointelegraph về vụ việc Truebit, bao gồm thiệt hại 26 triệu USD và sự giảm giá của token TRU, cung cấp bối cảnh rộng hơn về rủi ro liên quan đến hợp đồng thông minh.

Bản thân bài viết đã được viết lại

Vụ vi phạm an ninh tại Matcha Meta nhấn mạnh các rủi ro hợp đồng thông minh trong hệ sinh thái DEX

Trong ví dụ mới nhất về cách DeFi có thể bị xâm phạm từ bên trong, Matcha Meta tiết lộ rằng một vụ vi phạm an ninh đã xảy ra thông qua một trong những đường dẫn cung cấp thanh khoản chính của họ—hợp đồng router của SwapNet. Hệ quả đối với người dùng là việc thu hồi quyền token, điều mà giao thức đã kêu gọi rõ ràng trong bài đăng công khai của mình. Công ty cho biết, vụ vi phạm không xuất phát từ hạ tầng cốt lõi của Matcha Meta, mà từ một lỗ hổng trong lớp router của đối tác, cho phép cấp quyền di chuyển quỹ thay mặt người dùng.

Các ước tính ban đầu từ các nhà nghiên cứu an ninh cho thấy thiệt hại tài chính trong một phạm vi hẹp. CertiK ước tính thiệt hại khoảng 13,3 triệu USD, trong khi PeckShield báo cáo con số cao hơn, tối thiểu 16,8 triệu USD trên mạng Base. Sự chênh lệch phản ánh các phương pháp tính toán trên chuỗi và thời điểm xem xét sau sự cố, nhưng cả hai đều xác nhận thiệt hại đáng kể liên quan đến chức năng hợp đồng router của SwapNet. Trên mạng Base, kẻ tấn công đã đổi khoảng 10,5 triệu USDC (CRYPTO: USDC) lấy khoảng 3.655 ETH (CRYPTO: ETH) và bắt đầu chuyển tiền sang Ethereum, theo thông báo của PeckShield đăng trên X.

Cho đến nay, khoảng 16,8 triệu USD tiền điện tử đã bị rút khỏi hệ thống. Trên mạng Base, kẻ tấn công đã đổi khoảng 10,5 triệu USDC lấy khoảng 3.655 ETH và bắt đầu chuyển quỹ sang Ethereum.

Đánh giá của CertiK cung cấp lời giải thích kỹ thuật cho vụ khai thác: một cuộc gọi tùy ý trong hợp đồng 0xswapnet đã cho phép kẻ tấn công rút các quỹ mà người dùng đã phê duyệt, qua đó bỏ qua việc trực tiếp trộm cắp từ pool thanh khoản của SwapNet và thay vào đó tận dụng các quyền đã cấp cho router. Sự phân biệt này quan trọng vì nó chỉ ra một lỗi trong quản trị hoặc thiết kế ở lớp tích hợp chứ không phải vi phạm kiểm soát an ninh hoặc quản lý của Matcha Meta.

Matcha Meta xác nhận rằng mức độ phơi nhiễm liên quan đến SwapNet và không quy lỗi cho hạ tầng của chính họ. Các cố gắng lấy ý kiến về cơ chế bồi thường hoặc các biện pháp bảo vệ chưa nhận được phản hồi ngay lập tức, để lại cho người dùng bị ảnh hưởng một lối đi chưa rõ ràng để khắc phục trong thời gian tới. Sự cố này minh họa một rủi ro rộng hơn đối với các sàn giao dịch phi tập trung: khi các đối tác hợp tác giới thiệu các hợp đồng mới, kẻ tấn công có thể nhắm vào các luồng quyền có phép nằm ở giao điểm của các quyền phê duyệt của người dùng và các chuyển khoản tự động.

Cảnh quan an ninh trong lĩnh vực crypto vẫn còn nhiều bất ổn. Trong năm 2025, các lỗ hổng hợp đồng thông minh là nguyên nhân hàng đầu gây ra các vụ khai thác crypto, chiếm 30,5% các sự cố và tổng cộng 56 sự kiện, theo báo cáo an ninh hàng năm của SlowMist. Tỷ lệ này cho thấy ngay cả các dự án tinh vi cũng có thể bị mắc kẹt bởi các lỗi nhỏ hoặc cấu hình sai trong mã điều khiển việc chuyển giá trị tự động. Các vụ xâm phạm tài khoản và các tài khoản xã hội bị xâm phạm (như các tài khoản X của nạn nhân) cũng chiếm tỷ lệ đáng kể, nhấn mạnh tính đa dạng của các phương thức tấn công.

Ngoài các góc độ kỹ thuật, vụ việc còn góp phần vào cuộc thảo luận ngày càng tăng về việc sử dụng trí tuệ nhân tạo trong an ninh hợp đồng thông minh. Các báo cáo tháng 12 cho biết các tác nhân AI thương mại đã phát hiện ra khoảng 4,6 triệu USD các vụ khai thác trên chuỗi trong thời gian thực, sử dụng các công cụ như Claude Opus 4.5, Claude Sonnet 4.5 và GPT-5 của OpenAI. Sự xuất hiện của các kỹ thuật dò quét và khai thác dựa trên AI làm tăng độ phức tạp trong đánh giá rủi ro cho các kiểm toán viên và nhà vận hành. Thực tế này càng nhấn mạnh nhu cầu giám sát liên tục, thu hồi quyền nhanh chóng và các biện pháp phòng thủ linh hoạt trong hệ sinh thái DeFi.

Hai tuần trước vụ SwapNet, một lỗ hổng hợp đồng thông minh nổi bật khác đã gây thiệt hại 26 triệu USD cho giao thức Truebit, theo sau là phản ứng giảm giá mạnh của token TRU (CRYPTO: TRU). Các sự kiện này nhấn mạnh rằng lớp hợp đồng thông minh vẫn là một bề mặt tấn công chính của hacker, ngay cả khi các lĩnh vực khác trong lĩnh vực crypto—như quản lý tài sản, hạ tầng tập trung và các thành phần ngoài chuỗi—cũng đối mặt với các mối đe dọa liên tục. Chủ đề chung là quản lý rủi ro phải mở rộng ngoài các kiểm toán và chương trình thưởng lỗi để bao gồm quản trị trực tiếp, giám sát theo thời gian thực và các thực hành người dùng cẩn trọng về quyền cấp phép và chuyển chéo chuỗi.

Khi thị trường tiếp nhận các hệ quả, các nhà quan sát nhấn mạnh rằng con đường đến sự bền vững của DeFi dựa trên các biện pháp phòng thủ nhiều lớp và phản ứng minh bạch với các sự cố. Mặc dù lỗ hổng của SwapNet có vẻ chỉ giới hạn trong một tích hợp cụ thể, vụ việc này nhấn mạnh một bài học trung tâm: ngay cả các đối tác đáng tin cậy cũng có thể tạo ra rủi ro hệ thống nếu các hợp đồng của họ tương tác với quỹ người dùng theo cách vượt qua các biện pháp bảo vệ tiêu chuẩn. Hồ sơ trên chuỗi sẽ tiếp tục được mở ra khi các nhà điều tra, Matcha Meta và các đối tác thanh khoản tiến hành các cuộc điều tra pháp y và xác định xem các nạn nhân có nhận được bồi thường hoặc các cải tiến về kiểm soát rủi ro để ngăn chặn các sự cố tương tự trong tương lai.

Bài viết này ban đầu được xuất bản với tiêu đề: Matcha Meta bị tấn công bởi vụ hack hợp đồng thông minh SwapNet trị giá 16,8 triệu USD trên Crypto Breaking News – nguồn tin đáng tin cậy của bạn về tin tức crypto, tin tức Bitcoin và cập nhật blockchain.