Aggregator DEX Diserang oleh Eksploitasi SwapNet sebesar $16,8 juta Setelah Pengesahan Dilewati

• Iklan -

Agregator pertukaran terdesentralisasi Matcha Meta telah mengonfirmasi adanya insiden keamanan yang terkait dengan integrasi SwapNet, yang mengakibatkan perkiraan kerugian sebesar $16.8 juta.

Pelanggaran itu pertama kali ditandai oleh firma keamanan blockchain PeckShield, dengan analisis teknis lanjutan yang kemudian diberikan oleh CertiK.

Apa yang Salah

Menurut temuan yang dibagikan oleh peneliti keamanan, eksploit tersebut secara spesifik menargetkan pengguna yang telah menonaktifkan fitur “One-Time Approval” milik Matcha Meta. Dengan memilih untuk keluar, pengguna tersebut memberikan izin yang persisten secara langsung kepada kontrak router SwapNet, sehingga menciptakan permukaan serangan yang kemudian disalahgunakan.

#PeckShieldAlert Matcha Meta telah melaporkan adanya pelanggaran keamanan yang melibatkan SwapNet. Pengguna yang memilih keluar dari “One-Time Approvals” berisiko.

Sejauh ini, sekitar ~$16.8M senilai kripto telah dikuras.

Di #Base, penyerang menukar ~10.5M $USDC menjadi ~3,655 $ETH dan telah mulai menjembatani dana ke… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 Januari 2026

CertiK mengidentifikasi penyebab utama sebagai kerentanan “arbitrary call” pada kontrak SwapNet. Kekurangan ini memungkinkan penyerang untuk memulai transfer yang tidak diotorisasi dari dompet yang sebelumnya telah menyetujui router, sehingga secara efektif melewati perlindungan normal.

Pergerakan Dana dan Cakupan

Aktivitas on-chain menunjukkan bahwa penyerang menukar sekitar $10.5 juta USDC di Base menjadi sekitar 3,655 ETH, sebelum menjembatani aset tersebut ke Ethereum. Pergerakan lintas-chain tampaknya dirancang untuk mempersulit pelacakan dan upaya pemulihan.

Yang penting, insiden ini tidak memengaruhi semua pengguna Matcha. Paparan terbatas pada dompet yang secara manual menonaktifkan persetujuan satu kali dan memberikan izin langsung ke kontrak SwapNet.

                Bitcoin Mengungguli Emas dan Perak dalam Poling Investasi $100.000

Langkah Respons Darurat

Sebagai respons terhadap eksploit tersebut, Matcha Meta telah mengambil beberapa langkah segera:

• Kontrak SwapNet telah dihentikan untuk mencegah kerugian lebih lanjut.
• Pengguna telah diminta untuk mencabut persetujuan yang ada, khususnya untuk kontrak router SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• Platform telah menghapus opsi untuk menonaktifkan persetujuan satu kali, dengan tujuan mengurangi risiko serupa ke depan.

Insiden ini menyoroti trade-off keamanan yang terkait dengan persetujuan kontrak yang persisten dan memperkuat pentingnya peninjauan izin secara berkala, terutama saat berinteraksi dengan agregator dan kontrak perutean.