Aggregator DEX Diserang oleh Eksploitasi SwapNet sebesar $16,8 juta Setelah Pengesahan Dilewati

• Iklan -

Aggregator bursa terdesentralisasi Matcha Meta telah mengkonfirmasi insiden keamanan yang terkait dengan integrasi SwapNet, yang mengakibatkan kerugian diperkirakan sebesar $16,8 juta.

Pelanggaran tersebut pertama kali diungkap oleh firma keamanan blockchain PeckShield, dengan analisis teknis lebih lanjut diberikan oleh CertiK.

Apa yang Salah

Menurut temuan yang dibagikan oleh peneliti keamanan, eksploitasi tersebut secara khusus berdampak pada pengguna yang telah menonaktifkan fitur “Persetujuan Sekali” Matcha Meta. Dengan memilih untuk keluar, pengguna tersebut memberikan izin permanen langsung kepada kontrak router SwapNet, menciptakan permukaan serangan yang kemudian disalahgunakan.

#PeckShieldAlert Matcha Meta telah melaporkan pelanggaran keamanan yang melibatkan SwapNet. Pengguna yang memilih keluar dari “Persetujuan Sekali” berisiko.

Sejauh ini, ~$16,8 juta dalam bentuk crypto telah dicuri.

Di #Base, penyerang menukar ~10,5 juta $USDC untuk ~3.655 $ETH dan telah mulai menjembatani dana ke… pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 Januari 2026

CertiK mengidentifikasi penyebab utama sebagai kerentanan “panggilan sewenang-wenang” dalam kontrak SwapNet. Kelemahan ini memungkinkan penyerang untuk memulai transfer tidak sah dari dompet yang sebelumnya telah menyetujui router, secara efektif melewati perlindungan normal.

Pergerakan Dana dan Ruang Lingkup

Aktivitas on-chain menunjukkan penyerang menukar sekitar $10,5 juta dalam USDC di Base untuk sekitar 3.655 ETH, sebelum menjembatani aset ke Ethereum. Pergerakan lintas rantai tampaknya dirancang untuk mempersulit pelacakan dan upaya pemulihan.

Penting untuk dicatat, insiden tersebut tidak mempengaruhi semua pengguna Matcha. Paparan dibatasi pada dompet yang secara manual telah menonaktifkan persetujuan sekali dan memberikan izin langsung kepada kontrak SwapNet.

                Bitcoin Mengungguli Emas dan Perak dalam Survei Investasi $100.000

Langkah Tanggap Darurat

Sebagai respons terhadap eksploitasi tersebut, Matcha Meta telah mengambil beberapa langkah segera:

• Kontrak SwapNet telah ditangguhkan untuk mencegah kerugian lebih lanjut.
• Pengguna telah didorong untuk mencabut persetujuan yang ada, terutama untuk kontrak router SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• Platform telah menghapus opsi untuk menonaktifkan persetujuan sekali, dengan tujuan mengurangi risiko serupa di masa mendatang.

Insiden ini menyoroti trade-off keamanan yang terkait dengan persetujuan kontrak yang permanen dan memperkuat pentingnya ulasan izin secara rutin, terutama saat berinteraksi dengan aggregator dan kontrak routing.