Aggregator DEX Diserang oleh Eksploitasi SwapNet sebesar $16,8 juta Setelah Pengesahan Dilewati

• Iklan -

Aggregator pertukaran terdesentralisasi Matcha Meta telah mengonfirmasi insiden keamanan yang terkait dengan integrasi SwapNet-nya, yang mengakibatkan kerugian diperkirakan sebesar $16,8 juta.

Pelanggaran ini pertama kali ditandai oleh perusahaan keamanan blockchain PeckShield, dengan analisis teknis lebih lanjut kemudian disediakan oleh CertiK.

Apa yang Salah

Menurut temuan yang dibagikan oleh peneliti keamanan, eksploitasi ini secara khusus berdampak pada pengguna yang telah menonaktifkan fitur “Persetujuan Sekali” Matcha Meta. Dengan memilih keluar, pengguna tersebut memberikan izin yang persisten langsung kepada kontrak router SwapNet, menciptakan permukaan serangan yang kemudian disalahgunakan.

#PeckShieldAlert Matcha Meta telah melaporkan pelanggaran keamanan yang melibatkan SwapNet. Pengguna yang memilih keluar dari “Persetujuan Sekali” berisiko.

Sejauh ini, ~$16,8 juta dalam bentuk kripto telah diambil.

Di #Base, penyerang menukar ~$10,5 juta $USDC untuk sekitar 3.655 $ETH dan telah mulai menjembatani dana ke… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 Januari 2026

CertiK mengidentifikasi penyebab utama sebagai kerentanan “panggilan sembarangan” dalam kontrak SwapNet. Kelemahan ini memungkinkan penyerang untuk memulai transfer yang tidak sah dari dompet yang sebelumnya telah menyetujui router, secara efektif melewati pengaman normal.

Pergerakan Dana dan Lingkup

Aktivitas on-chain menunjukkan penyerang menukar sekitar $10,5 juta dalam USDC di Base untuk sekitar 3.655 ETH, sebelum menjembatani aset ke Ethereum. Pergerakan lintas rantai tampaknya dirancang untuk mempersulit pelacakan dan upaya pemulihan.

Pentingnya, insiden ini tidak mempengaruhi semua pengguna Matcha. Paparan terbatas pada dompet yang telah menonaktifkan persetujuan sekali secara manual dan memberikan izin langsung kepada kontrak SwapNet.

                Bitcoin Mengalahkan Emas dan Perak dalam Survei Investasi $100.000

Langkah Tanggap Darurat

Sebagai tanggapan terhadap eksploitasi, Matcha Meta telah mengambil beberapa langkah segera:

• Kontrak SwapNet telah ditangguhkan untuk mencegah kerugian lebih lanjut.
• Pengguna telah diminta untuk mencabut persetujuan yang ada, terutama untuk kontrak router SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• Platform telah menghapus opsi untuk menonaktifkan persetujuan sekali, bertujuan untuk mengurangi risiko serupa di masa mendatang.

Insiden ini menyoroti trade-off keamanan yang terkait dengan persetujuan kontrak persisten dan memperkuat pentingnya tinjauan izin secara berkala, terutama saat berinteraksi dengan aggregator dan kontrak routing.