Matcha Meta Terkena Peretasan Kontrak Pintar SwapNet Senilai $16,8 Juta

Pendahuluan
Pada hari Minggu, Matcha Meta mengungkapkan bahwa pelanggaran keamanan yang terkait dengan salah satu penyedia likuiditas utamanya, SwapNet, telah membahayakan pengguna yang telah memberikan persetujuan kepada kontrak router SwapNet. Insiden ini menyoroti bagaimana komponen yang memerlukan izin dalam ekosistem bursa terdesentralisasi dapat menjadi vektor serangan bahkan ketika infrastruktur inti tetap utuh. Penilaian publik awal menempatkan kerugian dalam kisaran sekitar $13 juta hingga $17 juta, dengan aktivitas on-chain berpusat pada jaringan Base dan perpindahan lintas rantai menuju Ethereum. Pengungkapan tersebut mendorong pengguna untuk mencabut persetujuan dan meningkatkan pengawasan terhadap bagaimana smart contract yang terpapar router eksternal dilindungi.

Poin-Poin Penting

• Pelanggaran berasal dari kontrak router SwapNet, mendorong seruan mendesak bagi pengguna untuk mencabut persetujuan guna mencegah kerugian lebih lanjut.
• Perkiraan dana yang dicuri bervariasi: CertiK melaporkan sekitar $13,3 juta, sementara PeckShield menghitung setidaknya $16,8 juta di jaringan Base.
• Di Base, penyerang menukar sekitar 10,5 juta USDC untuk sekitar 3.655 ETH dan mulai menjembatani dana ke Ethereum.
• CertiK mengaitkan kerentanan tersebut dengan panggilan arbitrer dalam kontrak 0xswapnet, yang memungkinkan penyerang mentransfer dana yang telah disetujui kepadanya.
• Matcha Meta menunjukkan bahwa eksposur terkait dengan SwapNet daripada infrastrukturnya sendiri, dan pejabat belum memberikan rincian tentang kompensasi atau perlindungan.
• Kelemahan smart contract terus menjadi pendorong utama eksploitasi kripto, menyumbang 30,5% dari insiden pada tahun 2025, menurut laporan keamanan tahunan SlowMist.

Ticker yang Disebutkan

Ticker yang disebutkan: Crypto → USDC, ETH, TRU

Sentimen

Sentimen: Netral

Dampak Harga

Dampak harga: Negatif. Pelanggaran ini menyoroti risiko keamanan yang sedang berlangsung di DeFi dan dapat mempengaruhi sentimen risiko seputar penyediaan likuiditas yang bertanggung jawab dan manajemen persetujuan.

Ide Trading (Bukan Nasihat Keuangan)

Ide trading (Bukan Nasihat Keuangan): Tahan. Insiden ini spesifik untuk jalur persetujuan router dan tidak secara langsung menyiratkan risiko sistemik yang lebih luas untuk semua protokol DeFi, tetapi memerlukan kehati-hatian seputar manajemen persetujuan dan likuiditas lintas rantai.

Konteks Pasar

Konteks pasar: Peristiwa ini tiba di tengah perhatian yang meningkat terhadap keamanan DeFi dan aktivitas lintas rantai, di mana penyedia likuiditas dan agregator semakin mengandalkan komponen modular. Ini juga berada dalam latar belakang diskusi yang berkembang tentang tata kelola on-chain, audit, dan kebutuhan akan perlindungan yang kuat karena protokol blue-chip dan pendatang baru bersaing untuk mendapatkan kepercayaan pengguna.

Mengapa Ini Penting

Mengapa ini penting

Insiden keamanan di agregator DeFi menggambarkan permukaan risiko yang persisten ketika beberapa lapisan protokol berinteraksi. Dalam kasus ini, pelanggaran dikaitkan dengan kerentanan dalam kontrak router SwapNet daripada arsitektur inti Matcha Meta, menyoroti bagaimana kepercayaan didistribusikan di seluruh komponen mitra dalam ekosistem yang dapat digabungkan. Bagi pengguna, episode ini berfungsi sebagai pengingat untuk meninjau dan mencabut persetujuan token secara teratur, terutama setelah kecurigaan aktivitas on-chain yang tidak normal.

Dampak keuangan, meskipun masih berkembang, memperkuat pentingnya pemeriksaan ketat terhadap penyedia likuiditas eksternal dan kebutuhan untuk pemantauan real-time terhadap aliran persetujuan. Fakta bahwa penyerang dapat mengonversi sebagian besar dana yang dicuri menjadi stablecoin dan kemudian menjembatani aset ke Ethereum menyoroti dinamika lintas rantai yang memperumit upaya pelacakan dan restitusi pasca-insiden. Bursa dan peneliti keamanan menekankan nilai dari cakupan izin yang terperinci dan terikat waktu serta kemampuan pencabutan awal untuk membatasi radius ledakan dari eksploitasi semacam itu.

Dari perspektif pasar, episode ini menambah narasi yang lebih luas tentang kerapuhan keuangan tanpa izin dan perlombaan yang sedang berlangsung untuk menerapkan perlindungan yang kuat dan dapat diaudit di seluruh lapisan ekosistem DeFi. Meskipun bukan dakwaan sistemik terhadap Matcha Meta, insiden ini mengintensifkan seruan untuk audit keamanan standar terhadap kontrak router dan akuntabilitas yang lebih jelas untuk modul pihak ketiga yang berinteraksi dengan dana pengguna.

Yang Perlu Diperhatikan Selanjutnya

Yang perlu diperhatikan selanjutnya

• Pembaruan resmi Matcha Meta tentang akar penyebab dan rencana remediasi atau kompensasi untuk pengguna yang terkena dampak.
• Audit eksternal atau tinjauan pihak ketiga terhadap kontrak router SwapNet dan perubahan tata kelola untuk mencegah terulangnya kejadian.
• Pemantauan on-chain terhadap aktivitas jembatan Base-ke-Ethereum terkait insiden ini dan pergerakan dana selanjutnya.
• Perkembangan regulasi dan standar industri seputar keamanan DeFi, khususnya kerangka audit smart contract dan kontrol persetujuan pengguna.

Sumber & Verifikasi

• Postingan Matcha Meta di X memperingatkan pengguna untuk mencabut persetujuan SwapNet setelah pelanggaran.
• Nasihat CertiK yang mengidentifikasi eksploitasi sebagai berasal dari panggilan arbitrer dalam kontrak 0xswapnet yang memungkinkan transfer dana yang disetujui.
• Pembaruan PeckShield yang mencatat sekitar $16,8 juta dikeringkan di Base, termasuk pertukaran USDC untuk ETH dan penjembatan ke Ethereum.
• Laporan Tahunan Keamanan Blockchain dan AML 2025 SlowMist yang merinci bagian insiden berdasarkan kategori, termasuk 30,5% dikaitkan dengan kerentanan smart contract dan 24% dengan kompromi akun.
• Liputan Cointelegraph tentang insiden Truebit, termasuk kerugian $26 juta dan penurunan token TRU, untuk konteks yang lebih luas tentang eksposur risiko smart contract.

Isi Artikel yang Ditulis Ulang

Pelanggaran keamanan di Matcha Meta menyoroti risiko smart contract dalam ekosistem DEX

Dalam contoh terbaru bagaimana DeFi dapat dikompromikan dari dalam, Matcha Meta mengungkapkan bahwa pelanggaran keamanan terjadi melalui salah satu jalur penyediaan likuiditas utamanya—kontrak router SwapNet. Konsekuensi yang dihadapi pengguna adalah pencabutan persetujuan token, yang secara eksplisit didesak oleh protokol dalam postingan publiknya. Pelanggaran tidak tampak berasal dari infrastruktur inti Matcha Meta, perusahaan menunjukkan, tetapi lebih dari kerentanan di lapisan router mitra yang memberikan izin untuk memindahkan dana atas nama pengguna.

Perkiraan awal dari peneliti keamanan menempatkan dampak keuangan dalam kisaran yang ketat. CertiK mengukur kerugian sekitar $13,3 juta, sementara PeckShield melaporkan angka minimum yang lebih tinggi sebesar $16,8 juta di jaringan Base. Perbedaan tersebut mencerminkan metode akuntansi on-chain yang berbeda dan waktu tinjauan pasca-insiden, tetapi kedua analisis mengonfirmasi kerugian yang berarti terkait dengan fungsionalitas router SwapNet. Di Base, penyerang dilaporkan menukar sekitar 10,5 juta USDC (CRYPTO: USDC) untuk sekitar 3.655 ETH (CRYPTO: ETH) dan mulai menjembatani hasilnya menuju Ethereum, menurut buletin PeckShield yang diposting di X.

Penilaian CertiK memberikan penjelasan teknis untuk eksploitasi: panggilan arbitrer dalam kontrak 0xswapnet memungkinkan penyerang menarik dana yang telah disetujui pengguna, secara efektif melewati pencurian langsung dari kumpulan likuiditas SwapNet dan sebaliknya memanfaatkan izin yang diberikan kepada router. Perbedaan ini penting karena menunjuk pada cacat tata kelola atau desain di lapisan integrasi daripada pelanggaran terhadap kontrol keamanan atau penyimpanan Matcha Meta sendiri.

Matcha Meta mengakui eksposur terkait dengan SwapNet dan tidak mengaitkan kerentanan dengan infrastrukturnya sendiri. Upaya untuk mendapatkan komentar tentang mekanisme kompensasi atau perlindungan tidak segera dikembalikan, meninggalkan pengguna yang terkena dampak tanpa jalur remediasi yang jelas dalam waktu dekat. Insiden ini menggambarkan profil risiko yang lebih luas untuk agregator DEX: ketika kemitraan memperkenalkan antarmuka kontrak baru, penyerang dapat menargetkan aliran yang memerlukan izin yang berada di persimpangan persetujuan pengguna dan transfer dana otomatis.

Lanskap keamanan yang lebih luas di kripto tetap sangat tidak pasti. Pada tahun 2025, kerentanan smart contract adalah penyebab utama eksploitasi kripto, menyumbang 30,5% dari insiden dan 56 peristiwa total, menurut laporan tahunan SlowMist. Bagian ini menyoroti bagaimana bahkan proyek-proyek canggih dapat tersandung oleh bug kasus tepi atau kesalahan konfigurasi dalam kode yang mengatur transfer nilai otomatis. Kompromi akun dan akun media sosial yang dikompromikan (seperti akun X korban) juga mewakili sebagian besar insiden, menyoroti sifat multi-vektor dari perangkat penyerang.

Di luar sudut pandang teknis murni, insiden ini memberi makan wacana yang berkembang seputar penggunaan kecerdasan buatan dalam keamanan smart contract. Laporan DESEMBER mencatat bahwa agen AI yang tersedia secara komersial mengungkap eksploitasi on-chain senilai sekitar $4,6 juta secara real-time, memanfaatkan alat seperti Claude Opus 4.5, Claude Sonnet 4.5, dan GPT-5 OpenAI. Munculnya teknik pemeriksaan dan eksploitasi yang didukung AI menambah lapisan kompleksitas pada penilaian risiko untuk auditor dan operator. Lanskap ancaman yang berkembang ini memperkuat kebutuhan untuk pemantauan berkelanjutan, pencabutan izin yang cepat, dan langkah-langkah defensif yang dapat disesuaikan dalam ekosistem DeFi.

Dua minggu sebelum insiden SwapNet, kerentanan smart contract profil tinggi lainnya mengakibatkan kerugian $26 juta untuk protokol Truebit, diikuti oleh reaksi harga yang curam pada token TRU (CRYPTO: TRU). Episode semacam itu menyoroti fakta bahwa lapisan smart contract tetap menjadi permukaan serangan utama untuk peretas, bahkan ketika domain lain dalam bidang kripto—penyimpanan, infrastruktur terpusat, dan komponen off-chain—juga menghadapi ancaman yang persisten. Tema yang berulang adalah bahwa manajemen risiko harus melampaui audit dan bug bounty untuk mencakup tata kelola langsung, pemantauan real-time, dan praktik pengguna yang bijaksana seputar persetujuan dan perpindahan lintas rantai.

Saat pasar mencerna implikasinya, pengamat menekankan bahwa jalan menuju ketahanan di DeFi bergantung pada perlindungan berlapis dan respons insiden yang transparan. Meskipun kerentanan SwapNet tampak terisolasi pada integrasi tertentu, insiden ini memperkuat pelajaran utama: bahkan mitra tepercaya dapat memperkenalkan risiko sistemik jika kontrak mereka berinteraksi dengan dana pengguna dengan cara yang melewati perlindungan standar. Catatan on-chain akan terus terungkap saat penyelidik, Matcha Meta, dan mitra likuiditasnya melakukan tinjauan forensik dan menentukan apakah korban akan menerima kompensasi atau peningkatan kontrol risiko yang dapat mencegah insiden serupa di masa depan.

Artikel ini awalnya diterbitkan sebagai Matcha Meta Diretas Peretasan Smart Contract SwapNet Senilai $16,8 Juta di Crypto Breaking News – sumber terpercaya Anda untuk berita kripto, berita Bitcoin, dan pembaruan blockchain.