Aggregator DEX Diserang oleh Eksploitasi SwapNet sebesar $16,8 juta Setelah Pengesahan Dilewati

• Iklan -

Agregator pertukaran terdesentralisasi Matcha Meta telah mengonfirmasi adanya insiden keamanan yang terkait dengan integrasi SwapNet-nya, yang mengakibatkan kerugian yang diperkirakan mencapai $16.8 juta.

Kebocoran pertama kali ditandai oleh perusahaan keamanan blockchain PeckShield, dengan analisis teknis lanjutan yang kemudian diberikan oleh CertiK.

Apa yang Salah

Menurut temuan yang dibagikan oleh peneliti keamanan, eksploit tersebut secara khusus berdampak pada pengguna yang telah menonaktifkan fitur “One-Time Approval” milik Matcha Meta. Dengan memilih keluar, pengguna tersebut memberikan izin yang persisten langsung ke kontrak router SwapNet, sehingga menciptakan permukaan serangan yang kemudian disalahgunakan.

#PeckShieldAlert Matcha Meta telah melaporkan adanya pelanggaran keamanan yang melibatkan SwapNet. Pengguna yang memilih keluar dari “One-Time Approvals” berisiko.

Sampai saat ini, sekitar ~$16.8M senilai kripto telah dikuras.

Di #Base, penyerang menukar ~10.5M $USDC untuk ~3,655 $ETH dan telah mulai melakukan bridging dana ke… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 Januari 2026

CertiK mengidentifikasi akar penyebabnya sebagai kerentanan “arbitrary call” pada kontrak SwapNet. Cacat ini memungkinkan penyerang memulai transfer yang tidak sah dari dompet yang sebelumnya telah menyetujui router, sehingga secara efektif melewati perlindungan normal.

Pergerakan Dana dan Ruang Lingkup

Aktivitas on-chain menunjukkan bahwa penyerang menukar sekitar $10.5 juta dalam USDC di Base menjadi sekitar 3,655 ETH, sebelum melakukan bridging aset tersebut ke Ethereum. Pergerakan lintas-chain tampaknya dirancang untuk menyulitkan pelacakan dan upaya pemulihan.

Yang penting, insiden ini tidak memengaruhi semua pengguna Matcha. Paparan terbatas pada dompet yang secara manual menonaktifkan persetujuan sekali pakai (one-time approvals) dan memberikan izin langsung kepada kontrak SwapNet.

                Bitcoin Mengungguli Emas dan Perak dalam Survei Investasi $100,000

Langkah Tanggap Darurat

Sebagai respons terhadap eksploit tersebut, Matcha Meta telah mengambil beberapa langkah segera:

• Kontrak SwapNet telah dihentikan untuk mencegah kerugian lebih lanjut.
• Pengguna telah diminta untuk mencabut persetujuan yang ada, terutama untuk kontrak router SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• Platform telah menghapus opsi untuk menonaktifkan persetujuan sekali pakai, dengan tujuan mengurangi risiko serupa ke depan.

Insiden ini menyoroti trade-off keamanan yang terkait dengan persetujuan kontrak yang persisten, serta memperkuat pentingnya peninjauan izin secara berkala, terutama saat berinteraksi dengan agregator dan kontrak perutean.