Matcha Meta mengonfirmasi peretasan setelah kerugian $16,8 juta

Platform agregasi swap dan bridge yang dibangun oleh 0x, Matcha Meta, telah kehilangan aset digital senilai $16,8 juta akibat pelanggaran keamanan SwapNet, menurut platform keamanan Web3 PeckShield.

Matcha Meta mengungkapkan pada hari Senin bahwa platform tersebut mengalami eksploitasi keamanan selama akhir pekan, di mana penyerang mencuri token dari agregator eksternal yang terintegrasi ke dalam antarmuka Matcha Meta yang disebut SwapNet. Platform tersebut mengatakan pengguna yang menonaktifkan fitur "One-Time Approvals" dan memberikan izin token langsung kepada agregator individual berisiko kehilangan dana mereka.

Dalam pernyataan agregator swap di X, MM mengatakan mereka menyadari aktivitas mencurigakan setelah catatan pergerakan token besar yang tidak sah dari kontrak router SwapNet muncul dalam catatan transaksi. Platform tersebut mengkonfirmasi telah menghubungi tim SwapNet, yang "menonaktifkan kontraknya untuk sementara" untuk mencegah lebih banyak kerugian. 

Peretas Matcha Meta menukar 3 ribu koin Ether dari korban

Menurut firma keamanan blockchain PeckShield, penyerang menguras dana melalui persetujuan token dan swap. Mereka memindahkan sekitar 10,5 juta USDC dari alamat korban di Base, blockchain layer-2 Ether, kemudian menukar stablecoin tersebut dengan 3.655 Ether, mengkonsolidasikan nilai ke dalam aset yang lebih likuid.

Setelah menyelesaikan swap, penyerang mulai menjembatani Ether dari Base ke mainnet Ethereum untuk menyembunyikan jejak transaksi. Bridging adalah proses mentransfer aset antar blockchain menggunakan kontrak pintar atau protokol perantara. Meskipun dianggap "sah" dalam kebanyakan kasus, peretas menggunakannya karena hampir tidak mungkin untuk melacak operasi mereka.

Pelaku sebelumnya telah memberikan kelonggaran token untuk memindahkan dana tanpa tanda tangan pengguna, yang memberikan izin bagi kontrak pintar untuk menghabiskan token mereka. Jika kelonggaran diatur ke tidak terbatas, kontrak yang berbahaya atau terkompromi dapat menguras dana hingga saldo habis. 

Matcha Meta mengatakan pengguna yang berinteraksi dengan platform menggunakan sistem One-Time Approval tidak terdampak. Fitur tersebut merutekan izin token melalui kontrak AllowanceHolder dan Settler milik 0x, membatasi eksposur trader dengan memberikan persetujuan untuk satu transaksi. 

"Setelah meninjau dengan tim protokol 0x, kami telah mengkonfirmasi bahwa sifat insiden tidak terkait dengan kontrak AllowanceHolder atau Settler milik 0x," tulis Matcha Meta di X kemudian. Perusahaan menambahkan bahwa pengguna yang menonaktifkan One-Time Approvals dan menetapkan kelonggaran langsung pada kontrak agregator "menanggung risiko setiap agregator."

Platform swap DEX menghapus fungsi bagi pengguna untuk menetapkan kelonggaran langsung pada agregator melalui antarmukanya, sambil meminta komunitas untuk mencabut izin yang ada pada kontrak router SwapNet. 

Peretasan kontrak pintar DeFi terus berlanjut di 2026

Insiden Matcha Meta terjadi hanya enam hari setelah Makina Finance, protokol keuangan terdesentralisasi dengan fitur eksekusi otomatis, mengalami pelanggaran jaringan yang menguras pool likuiditas DUSD/USDC-nya di Curve.

Seperti dilaporkan oleh Cryptopolitan, peretas mengekstrak sekitar 1.299 Ether dari pool stablecoin Curve milik Makina, senilai $4,13 juta pada saat itu. Pelanggaran tersebut melibatkan penyedia likuiditas non-custodial yang terhubung ke oracle harga on-chain, feed data yang digunakan oleh kontrak pintar untuk menentukan nilai aset. 

Menurut firma analitik blockchain Elliptic, sebagian besar pencucian uang dark web saat ini melibatkan layanan swap koin, termasuk pertukaran instan yang berjalan melalui situs web mandiri atau saluran Telegram.

Tahun lalu, agregator pertukaran terdesentralisasi CoWSwap melaporkan pelanggaran yang mengakibatkan kerugian lebih dari $180.000. Sekitar $180.000 DAI dicuri melalui kontrak pintar eksekusi perdagangan GPv2Settlement milik CoWSwap.

Platform tersebut mengatakan kontrak yang terkompromi hanya memiliki akses ke biaya protokol yang dikumpulkan selama satu minggu, yang berasal dari eksploitasi akun solver. Dalam model CoWSwap, pengguna menandatangani maksud perdagangan yang diteruskan ke solver pihak ketiga, yang bersaing untuk memberikan harga terbaik dan menyimpan biaya yang dikumpulkan.

Pikiran kripto paling cerdas sudah membaca newsletter kami. Mau ikut? Bergabunglah dengan mereka.