Aggregator DEX Diserang oleh Eksploitasi SwapNet sebesar $16,8 juta Setelah Pengesahan Dilewati

• Pengumuman -

Aggregator bursa terdesentralisasi Matcha Meta telah mengonfirmasi adanya insiden keamanan yang terkait dengan integrasi SwapNet-nya, yang mengakibatkan perkiraan kerugian sebesar $16,8 juta.

Kebocoran tersebut pertama kali ditandai oleh perusahaan keamanan blockchain PeckShield, dengan analisis teknis lebih lanjut kemudian disediakan oleh CertiK.

Apa yang Salah

Menurut temuan yang dibagikan oleh peneliti keamanan, eksploit tersebut secara spesifik berdampak pada pengguna yang telah menonaktifkan fitur “One-Time Approval” milik Matcha Meta. Dengan memilih keluar, pengguna tersebut memberikan izin yang persisten langsung ke kontrak router SwapNet, sehingga menciptakan permukaan serangan yang kemudian disalahgunakan.

#PeckShieldAlert Matcha Meta telah melaporkan pelanggaran keamanan yang melibatkan SwapNet. Pengguna yang memilih keluar dari “One-Time Approvals” berisiko.

Sejauh ini, sekitar ~$16,8M nilai kripto telah dikuras.

Di #Base, penyerang menukarkan ~10,5M $USDC untuk ~3.655 $ETH dan telah mulai melakukan bridging dana ke… pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 Januari 2026

CertiK mengidentifikasi akar masalahnya sebagai kerentanan “arbitrary call” dalam kontrak SwapNet. Cacat ini memungkinkan penyerang untuk memulai transfer yang tidak sah dari dompet yang sebelumnya telah menyetujui router, sehingga secara efektif melewati perlindungan normal.

Pergerakan Dana dan Cakupan

Aktivitas on-chain menunjukkan bahwa penyerang menukarkan sekitar $10,5 juta USDC di Base menjadi sekitar 3.655 ETH, sebelum melakukan bridging aset tersebut ke Ethereum. Pergerakan lintas-chain tampaknya dirancang untuk mempersulit pelacakan dan upaya pemulihan.

Pentingnya, insiden ini tidak memengaruhi semua pengguna Matcha. Paparan terbatas pada dompet yang secara manual menonaktifkan persetujuan satu kali dan memberikan izin langsung ke kontrak-kontrak SwapNet.

                Bitcoin Mengungguli Emas dan Perak dalam Poll Investasi $100.000

Langkah Respons Darurat

Sebagai respons terhadap eksploit tersebut, Matcha Meta telah mengambil beberapa langkah segera:

• Kontrak-kontrak SwapNet telah dihentikan untuk mencegah kerugian lebih lanjut.
• Pengguna telah diminta untuk mencabut persetujuan yang ada, terutama untuk kontrak router SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• Platform telah menghapus opsi untuk menonaktifkan persetujuan satu kali, dengan tujuan mengurangi risiko serupa ke depannya.

Insiden ini menyoroti trade-off keamanan yang terkait dengan persetujuan kontrak yang persisten dan menegaskan pentingnya peninjauan izin secara berkala, terutama saat berinteraksi dengan agregator dan kontrak routing.