Vụ rò rỉ bảo mật Matcha Meta SwapNet gây thiệt hại 16.8 triệu USD

Nền tảng bảo mật blockchain PeckShieldAlert đã cảnh báo về một vụ vi phạm bảo mật nghiêm trọng liên quan đến SwapNet, ảnh hưởng đến người dùng tương tác thông qua Matcha Meta. Trong khi đó, tin tặc đã lợi dụng việc phê duyệt token để đánh cắp 16,8 triệu đô la tiền điện tử.

Dữ liệu từ PeckShieldAlert cho thấy việc vô hiệu hóa các cài đặt an toàn đã khiến người dùng gặp phải những tổn thất không lường trước được.

Vụ tấn công mạng SwapNet đã diễn ra như thế nào?

Theo PeckShieldAlert, vụ tấn công không xảy ra do lỗi trong chính Matcha Meta, mà là do cách một số người dùng quản lý việc phê duyệt token.

Matcha Meta cung cấp tính năng Phê duyệt một lần, giới hạn quyền truy cập token chỉ cho một giao dịch duy nhất. Tuy nhiên, những người dùng tắt tính năng này và thay vào đó cấp quyền trực tiếp, dài hạn cho các hợp đồng tổng hợp riêng lẻ đã tự đặt mình vào rủi ro cao hơn.

#PeckShieldAlert Matcha Meta has reported a security breach involving SwapNet. Users who opted out of “One-Time Approvals” are at risk.

So far, ~$16.8M worth of crypto has been drained.

On #Base, the attacker swapped ~10.5M $USDC for ~3,655 $ETH and has begun bridging funds to… pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) January 26, 2026

Kẻ tấn công đã lợi dụng các quyền truy cập vĩnh viễn liên kết với SwapNet. Sau khi được cấp quyền truy cập, tin tặc có thể chuyển tiền tự do mà không cần người dùng xác nhận thêm. Đây là cách mà ví điện tử bị rút sạch tiền mà người dùng không cần chủ động ký các giao dịch mới.

Hoạt động on-chain xác nhận việc chuyển tiền

Dữ liệu blockchain cho thấy kẻ tấn công tập trung mạnh vào mạng Base. Khoảng 10,5 triệu USDC đã được đổi lấy khoảng 3.655 ETH. Ngay sau đó, kẻ tấn công bắt đầu chuyển tiền từ Base sang Ethereum, một chiến thuật phổ biến được sử dụng để giảm khả năng truy vết.

Các bản ghi giao dịch bổ sung cho thấy các giao dịch chuyển tiền USDC lớn vượt quá 13 triệu đô la, cùng với các tương tác thanh khoản trên Uniswap V3. Tổng cộng, PeckShieldAlert ước tính rằng khoảng 16,8 triệu đô la tiền điện tử đã bị đánh cắp.

Phản hồi từ Matcha Meta và SwapNet

Matcha Meta nhanh chóng thừa nhận sự cố và xác nhận đang hợp tác chặt chẽ với đội ngũ SwapNet. Ngay lập tức, SwapNet đã tạm thời vô hiệu hóa các hợp đồng của mình để ngăn chặn việc bị lợi dụng thêm.

Để bảo vệ người dùng trong tương lai, Matcha Meta đã loại bỏ tùy chọn thiết lập giới hạn tổng hợp trực tiếp, đảm bảo rằng loại rủi ro này sẽ không xảy ra nữa. Nền tảng này cũng khuyến cáo người dùng thu hồi tất cả các phê duyệt hiện có nằm ngoài các hợp đồng Phê duyệt một lần của 0x, đặc biệt là những phê duyệt liên kết với hợp đồng bộ định tuyến của SwapNet.

We are aware of an incident with SwapNet that users may have been exposed to on Matcha Meta for those who turned off One-Time Approvals

We are in contact with the SwapNet team and they have temporarily disabled their contracts

The team is actively investigating and will provide…

— Matcha Meta 🎆 (@matchametaxyz) January 25, 2026