Matcha Meta cảnh báo sự cố bảo mật liên quan SwapNet, thiệt hại ước tính 16,8 triệu USD

Matcha Meta xác nhận một sự cố bảo mật liên quan đến SwapNet, nhấn mạnh các hợp đồng Matcha Meta và 0x vẫn an toàn. Nguyên nhân xuất phát từ việc người dùng cấp quyền token dài hạn, không sử dụng One-Time Approval. Vụ việc chỉ ảnh hưởng đến một nhóm nhỏ người dùng đã tắt tính năng One-Time Approval và cấp quyền dài hạn trực tiếp cho hợp đồng SwapNet.

🚨 SECURITY UPDATE
We have identified an exploit related to SwapNet.
Matcha Meta and 0x contracts remain secure.

A small subset of Matcha Meta users who disabled our default One-Time Approval setting and granted direct approvals to SwapNet contracts were affected.

👉 If you…

— Matcha Meta 🎆 (@matchametaxyz) January 27, 2026

Theo PeckShieldAlert, kẻ tấn công đã lợi dụng các quyền truy cập vĩnh viễn này để chuyển tài sản khỏi ví mà không cần thêm xác nhận, khiến nhiều ví bị rút sạch. Dữ liệu on-chain cho thấy khoảng 10,5 triệu USDC bị hoán đổi sang 3.655 ETH trên mạng Base và bridge sang Ethereum, nâng tổng thiệt hại lên khoảng 16,8 triệu USD.

#PeckShieldAlert Matcha Meta has reported a security breach involving SwapNet. Users who opted out of "One-Time Approvals" are at risk.

So far, ~$16.8M worth of crypto has been drained.

On #Base, the attacker swapped ~10.5M $USDC for ~3,655 $ETH and has begun bridging funds to… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) January 26, 2026

Sau sự cố, SwapNet đã vô hiệu hóa các hợp đồng liên quan, trong khi Matcha Meta loại bỏ tùy chọn cấp quyền dài hạn và khuyến nghị người dùng thu hồi toàn bộ các approval không thuộc cơ chế One-Time Approval của 0x để giảm rủi ro trong tương lai.

Hiện các cuộc điều tra vẫn đang được tiếp tục, và hai bên cho biết sẽ cập nhật thông tin thường xuyên trong quá trình theo dõi dòng tiền bị đánh cắp.