Aggregator DEX Diserang oleh Eksploitasi SwapNet sebesar $16,8 juta Setelah Pengesahan Dilewati

• Periklanan -

Pengagregator pertukaran terdesentralisasi Matcha Meta telah mengonfirmasi adanya insiden keamanan yang terkait dengan integrasi SwapNet, yang mengakibatkan perkiraan kerugian sebesar $16,8 juta.

Kebobolan tersebut pertama kali diberi tanda oleh perusahaan keamanan blockchain PeckShield, dengan analisis teknis lanjutan kemudian disediakan oleh CertiK.

Apa yang Salah

Menurut temuan yang dibagikan oleh peneliti keamanan, eksploit tersebut secara spesifik berdampak pada pengguna yang telah menonaktifkan fitur “One-Time Approval” milik Matcha Meta. Dengan memilih keluar, pengguna tersebut memberikan izin persisten secara langsung kepada kontrak router SwapNet, sehingga menciptakan permukaan serangan yang kemudian disalahgunakan.

#PeckShieldAlert Matcha Meta telah melaporkan adanya pelanggaran keamanan yang melibatkan SwapNet. Pengguna yang memilih keluar dari “One-Time Approvals” berisiko.

Sejauh ini, sekitar ~$16,8M senilai kripto telah dikuras.

Di #Base, penyerang menukar ~10,5M $USDC menjadi ~3,655 $ETH dan telah mulai menjembatani dana ke… pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 Januari 2026

CertiK mengidentifikasi akar penyebabnya sebagai kerentanan “arbitrary call” pada kontrak SwapNet. Cacat ini memungkinkan penyerang untuk memulai transfer tanpa otorisasi dari dompet yang sebelumnya telah menyetujui router, sehingga pada dasarnya mengakali pengaman normal.

Pergerakan Dana dan Cakupan

Aktivitas on-chain menunjukkan bahwa penyerang menukar sekitar $10,5 juta dalam USDC di Base menjadi sekitar 3.655 ETH, sebelum menjembatani aset tersebut ke Ethereum. Pergerakan lintas-chain tersebut tampaknya dirancang untuk mempersulit pelacakan dan upaya pemulihan.

Pentingnya, insiden ini tidak memengaruhi semua pengguna Matcha. Paparan terbatas pada dompet yang secara manual menonaktifkan persetujuan sekali dan memberikan izin langsung ke kontrak SwapNet.

                Bitcoin Mengungguli Emas dan Perak dalam Survei Investasi $100.000

Langkah Tanggap Darurat

Sebagai respons terhadap eksploit tersebut, Matcha Meta telah mengambil beberapa langkah segera:

• Kontrak SwapNet telah dihentikan untuk mencegah kerugian lebih lanjut.
• Pengguna telah diminta untuk mencabut persetujuan yang sudah ada, khususnya untuk kontrak router SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• Platform telah menghapus opsi untuk menonaktifkan one-time approvals, dengan tujuan mengurangi risiko serupa ke depan.

Insiden ini menyoroti trade-off keamanan yang terkait dengan persetujuan kontrak yang persisten, dan memperkuat pentingnya peninjauan izin secara berkala, terutama saat berinteraksi dengan agregator dan kontrak perutean.