Matcha Meta 驚傳駭客攻擊　DeFi 授權漏洞導致 1,680 萬美元加密貨幣失竊

根據 The Block 的報導，於 24 日（當地時間），去中心化金融（DeFi）聚合交易平台 Matcha Meta 遭遇重大安全事件，不法分子透過外部流動性供應商 SwapNet 的合約漏洞，竊取了約 1,680 萬美元（約新台幣 5.4 億元）價值的加密貨幣。雖然 Matcha Meta 的核心架構未受直接攻擊，但事件發生源於使用者未啟用「一次性授權（One-Time Approval）」功能，選擇將代幣許可直接授予 Aggregator 智能合約所致。

Matcha Meta 團隊已於 X（原 Twitter）平台呼籲用戶注意此風險，並證實遭受攻擊者瞄準的目標是關閉「一次性授權」功能的使用者。SwapNet 目前已暫停相關合約運作以阻止更多資產外流。

根據區塊鏈安全公司 PeckShield 的區塊鏈追蹤分析指出，駭客利用 Base 網路為操作主體，首波攻擊中將價值 1,050 萬美元的 USD Coin（USDC）兌換為 3,655 枚以太幣（ETH），並經由跨鏈橋轉移至以太坊主網，有效率地達成資產「洗錢」行動。總體估計損失約達 1,680 萬美元。

另一家安全公司 CertiK 也補充指出，有一組與攻擊有關的錢包地址曾轉出約 1,330 萬美元的 USDC。初步調查顯示，攻擊關鍵在於駭客利用 SwapNet 合約中存在的「任意調用超權限（arbitrary call authorization）」漏洞，導致過去曾授權的帳戶再度遭到資產竊取。

Matcha Meta 澄清，本次受害者僅限於自行選擇永久授權的使用者，其平台基於 0x 協議的「一次性授權」合約，並未受到影響。該授權僅允許單筆交易，並限制授權金額上限而具有更高安全性。為進一步降低風險，Matcha Meta 宣布將全面取消在平台內的「直接授權」選項，以強制推動更安全的預設授權機制。

評論：這起事件再度凸顯 DeFi 領域中「持續性授權」所帶來的資安風險。與智能合約互動時所需的代幣授權設計，一旦被授予持久性與廣泛性權限，極易被第三方惡用。在資安社群中，這一警訊已多次被提出，然此次案例再度證實，簡單的預設設定錯誤也可能導致重大損失。

根據區塊鏈安全公司 SlowMist 的年度報告，截至 2025 年與智能合約漏洞有關的攻擊，占整體加密產業損失比例已達三成以上。同報告指出，人工智慧技術的進展使得駭客對潛在漏洞的掌握與攻擊效率大幅提升，讓防禦變得更加困難。

事實上，近幾個月來 DeFi 項目的攻擊事件頻傳。包括 IPOR Labs 在 Arbitrum 上遭駭損失超過 33 萬美元，Truebit 遭竊逾 8,500 枚 ETH，引發代幣價格劇烈波動；而 Layer 1 區塊鏈項目 Saga 甚至因 700 萬美元的攻擊事故，被迫暫停其 EVM 鏈運作。

評論：DeFi 的強大彈性與開放授權機制雖然提供創新空間，但也對用戶的資訊素養與防禦意識提出更高要求。Matcha Meta 此次事件將成為整個 DeFi 生態的重要提醒：「安全預設」與「最低授權原則」絕非可選項，而是未來去中心化應用的基本標配。