Eksploit SwapNet Menguras $16,8J Setelah Celah Persetujuan di Matcha Meta
Secara Singkat
- Eksploit SwapNet menguras $16,8 juta setelah pengguna menonaktifkan perlindungan persetujuan satu kali.
- Penyerang menukar $10,5 juta USDC ke ETH di Base sebelum melakukan bridging ke Ethereum.
- Matcha Meta menonaktifkan kontrak yang terdampak karena perusahaan keamanan menandai risiko DeFi yang lebih luas.
Pelanggaraan keamanan yang terkait dengan SwapNet menyebabkan kerugian sekitar $16,8 juta, mempengaruhi pengguna yang berinteraksi melalui Matcha Meta. Insiden ini terutama berdampak pada pengguna yang menonaktifkan persetujuan satu kali, sehingga mengekspos izin token yang permanen.
Perusahaan keamanan blockchain PeckShieldAlert mengidentifikasi exploit tersebut dan melacak pergerakan dana awal. Penyerang menargetkan kontrak router SwapNet yang mempertahankan izin tanpa batas dari dompet pengguna yang terdampak.
Di jaringan Base, penyerang menukar sekitar $10,5 juta USDC menjadi sekitar 3.655 ETH. Tak lama kemudian, penyerang mulai melakukan bridging aset yang telah dikonversi ke mainnet Ethereum untuk menyulitkan pelacakan.
SwapNet beroperasi sebagai router likuiditas yang digunakan oleh Matcha Meta untuk mendapatkan harga dan likuiditas mendalam. Eksploit ini melibatkan penyalahgunaan izin yang ada daripada membobol kunci pribadi atau infrastruktur inti.
Penyelidikan Meluas karena Perusahaan Keamanan Menandai Risiko Lebih Luas
Analisis lebih lanjut menunjukkan bahwa exploit berasal dari kerentanan panggilan sewenang-wenang dalam kontrak SwapNet. Kerusakan ini memungkinkan penyerang mentransfer token yang disetujui tanpa meminta izin baru.
Perusahaan keamanan BlockSec melaporkan bahwa beberapa kontrak di berbagai chain mengalami kerugian lebih dari $17 juta. Jaringan yang terdampak termasuk Ethereum, Arbitrum, Base, dan BNB Chain, memperluas cakupan insiden.
Secara terpisah, CertiK memperkirakan bahwa dana yang dicuri mendekati $13,3 juta dalam USDC dari aktivitas terkait.
Beberapa kontrak yang terlibat tetap bersifat sumber tertutup dan tidak diverifikasi saat peluncuran.
Matcha Meta kemudian mengonfirmasi bahwa kontrak inti 0x tidak terdampak oleh insiden ini.
Pengguna yang mengandalkan persetujuan satu kali melalui infrastruktur 0x tetap tidak terpengaruh.
Insiden ini memperbarui perhatian terhadap izin token yang permanen dalam keuangan terdesentralisasi.
Izin tanpa batas menawarkan kenyamanan tetapi meningkatkan risiko selama kegagalan kontrak pintar.
Sementara itu, penyelidik on-chain ZachXBT mengkritik respons tertunda Circle untuk membekukan USDC yang tersisa. Sekitar $3 juta dilaporkan tetap berada di alamat yang memenuhi syarat untuk dibekukan selama jendela respons.
Pelanggaraan ini menambah daftar kegagalan keamanan DeFi yang semakin meningkat di awal 2026. Data industri menunjukkan bahwa dana kripto yang dicuri mencapai tingkat rekor dalam beberapa tahun terakhir, meningkatkan tekanan pada praktik keamanan protokol.
| DISCLAIMER: Informasi di situs web ini disediakan sebagai komentar pasar umum dan tidak merupakan nasihat investasi. Kami mendorong Anda untuk melakukan riset sendiri sebelum berinvestasi. |
Artikel Terkait
ZachXBT Menuduh Karyawan Axiom Menyalahgunakan Data Internal - Unchained
OCC AS menawarkan untuk menilai ETP kripto spot yang terkait dengan anggota kliring dan kustodian sebagai nol
Holdstation terkena serangan hacker dengan kerugian 462.000 USDT, layanan telah dihentikan sementara dan berjanji akan memberikan kompensasi penuh
Kurang dari 1 sen menghancurkan likuiditas di atas 10.000 dolar AS, serangan pesanan bisa menguras market maker Polymarket
Penanggung jawab platform perdagangan mata uang virtual Hong Kong AAX diduga menggelapkan lebih dari 600 juta dolar Hong Kong, dan saat ini telah didakwa dengan 4 tuduhan