Matcha Meta Mengalami Kerugian $16,8 Juta dalam Eksploitasi SwapNet

Platform perdagangan terdesentralisasi Matcha Meta terguncang setelah insiden keamanan besar yang melibatkan kontrak SwapNet-nya mengakibatkan pencurian aset senilai diperkirakan $16,8 juta.

Perusahaan keamanan blockchain PeckShield pertama kali menandai eksploitasi tersebut, mengungkapkan bahwa penyerang dengan cepat mengonversi sebagian besar dana yang dicuri menjadi Ethereum sebelum mulai menjembatani aset lintas rantai.

Pelanggaran tersebut memicu penutupan segera kontrak yang terdampak, karena Matcha Meta bergegas menahan kerugian lebih lanjut. Kontrak SwapNet kini telah dinonaktifkan sementara, dan izin agregator langsung telah dihapus di seluruh platform.

Sementara investigasi masih berlangsung, masih belum jelas apakah ada dana pengguna yang berhasil dipulihkan.

Insiden ini sekali lagi menyoroti risiko yang semakin meningkat terkait dengan persetujuan token permanen dan infrastruktur agregator kompleks di DeFi.

Penyerang Mengonversi Jutaan Di Base Sebelum Menjembatani Ke Ethereum

Data on-chain menunjukkan eksploitasi terjadi dengan cepat.

Penyerang berfokus pada Base, di mana sekitar $10,5 juta USDC ditukar dengan sekitar 3.655 ETH dalam waktu singkat. Setelah konversi selesai, dana dengan cepat dipindahkan ke Ethereum, rute pencucian umum karena likuiditas yang lebih dalam dan infrastruktur DeFi yang lebih luas.

Pola ini mencerminkan banyak eksploitasi DeFi baru-baru ini, di mana penyerang:

• Menguras aset dari kontrak pintar

• Mengonversi menjadi token likuiditas tinggi seperti ETH

• Menjembatani dana lintas jaringan

• Mengaburkan jejak menggunakan protokol terdesentralisasi

Kecepatan eksekusi menunjukkan penyerang telah mempersiapkan diri dengan baik dan kemungkinan memantau perilaku kontrak SwapNet dengan cermat sebelum menyerang.

Analis keamanan terus melacak pergerakan dompet saat dana menyebar di seluruh alamat berbasis Ethereum.

Kontrak SwapNet Dinonaktifkan Saat Respons Darurat Dimulai

Matcha Meta bergerak cepat setelah eksploitasi terungkap.

Tim mengonfirmasi bahwa semua kontrak SwapNet ditutup sementara dan izin agregator yang terkait langsung dengan Matcha Meta dihapus sebagai tindakan pencegahan.

Tindakan darurat ini bertujuan mencegah transfer tidak sah lebih lanjut sementara tim keamanan menganalisis pelanggaran tersebut.

Namun, menonaktifkan kontrak tidak membalikkan transaksi yang sudah dieksekusi di rantai, yang berarti dana yang dicuri kemungkinan tidak dapat dipulihkan kecuali off-ramp terpusat membekukan aset di kemudian hari dalam proses pencucian.

Sejauh ini, Matcha Meta belum mengonfirmasi apakah dana asuransi, penggantian, atau upaya pemulihan akan diterapkan untuk pengguna yang terdampak.

Platform telah mendesak semua pengguna untuk segera meninjau dan mencabut persetujuan token yang ada yang terkait dengan agregator.

Persetujuan Token Permanen Diidentifikasi Sebagai Risiko Inti

Eksploitasi ini sekali lagi mengekspos salah satu cacat desain paling berbahaya di DeFi: persetujuan token tidak terbatas.

Banyak pengguna memberikan izin permanen kepada agregator dan kontrak pintar demi kenyamanan saat menukar token. Meskipun ini mengurangi hambatan, hal ini juga menciptakan kerentanan yang berkelanjutan.

Setelah pelaku jahat mendapatkan akses ke kontrak yang disusupi atau jalur eksploitasi, mereka dapat menguras dompet yang disetujui secara instan, tanpa memerlukan tanda tangan pengguna lebih lanjut.

Siapa yang paling berisiko:

• Pengguna dengan persetujuan jangka panjang kepada agregator

• Dompet yang melewati sistem persetujuan sekali pakai

• Trader yang berinteraksi dengan kontrak pintar yang lebih baru

Para ahli keamanan kini menekankan bahwa persetujuan tidak terbatas harus dihindari sepenuhnya, terutama saat menggunakan infrastruktur DeFi eksperimental.

Matcha Meta secara khusus menyarankan pengguna untuk mencabut setiap persetujuan yang terhubung ke SwapNet dan agregator lain di luar kerangka One-Time Approval 0x.

Pengguna Didesak Untuk Mencabut Izin Dan Beralih Ke Persetujuan Sekali Pakai

Setelah eksploitasi, panduan keamanan mendesak beredar di komunitas kripto.

Tindakan yang direkomendasikan meliputi:

• Segera mencabut semua persetujuan token yang terkait dengan Matcha Meta dan SwapNet

• Meninjau izin dompet di block explorer atau alat manajemen persetujuan

• Menggunakan persetujuan sekali pakai saat menukar token

• Berinteraksi hanya dengan agregator tepercaya dan teraudit

Persetujuan sekali pakai memastikan bahwa kontrak pintar hanya dapat mengakses token untuk satu transaksi dan bukan tanpa batas waktu.

Pendekatan ini secara signifikan mengurangi risiko, bahkan jika protokol kemudian disusupi.

Seiring aktivitas DeFi semakin kompleks, manajemen izin semakin menjadi sama pentingnya dengan keamanan kunci pribadi.

Eksploitasi DeFi Terus Meningkat Seiring Metode Serangan Semakin Canggih

Insiden Matcha Meta menambah daftar pelanggaran DeFi bernilai tinggi yang terus bertambah sepanjang 2025 dan awal 2026.

Alih-alih bug kontrak pintar sederhana, banyak eksploitasi modern kini melibatkan:

• Penyalahgunaan izin

• Kelemahan routing agregator

• Kerentanan bridge lintas rantai

• Manipulasi likuiditas

Penyerang tidak lagi hanya mengandalkan kesalahan coding, mereka mengeksploitasi bagaimana pengguna berinteraksi dengan protokol dari waktu ke waktu.

Persetujuan tidak terbatas, sistem kontrak pintar berlapis, dan infrastruktur multi-chain menciptakan permukaan serangan yang berkembang yang semakin terampil dinavigasi oleh peretas.

Perusahaan keamanan telah berulang kali memperingatkan bahwa seiring DeFi berkembang, manajemen risiko dari sisi pengguna harus meningkat bersama audit protokol.

Tanpa standar persetujuan yang lebih baik, pengamanan tingkat dompet, dan batasan transaksi bawaan, insiden serupa kemungkinan akan terus berlanjut.

Pengingat Keras Untuk Pengguna Dan Platform DeFi Sama-Sama

Eksploitasi SwapNet senilai $16,8 juta berfungsi sebagai pengingat menyakitkan lainnya bahwa kenyamanan di DeFi sering kali datang dengan biaya keamanan.

Bagi pengguna, persetujuan permanen dapat secara diam-diam mengubah dompet menjadi brankas terbuka.

Bagi platform, sistem agregator kompleks memperkenalkan vektor risiko yang menuntut pemantauan konstan dan kemampuan respons cepat.

Sementara keuangan terdesentralisasi terus mendorong adopsi arus utama, setiap eksploitasi memperlambat kepercayaan, meningkatkan tekanan regulasi, dan memperkuat kebutuhan akan infrastruktur yang lebih aman.

Sampai sistem persetujuan menjadi lebih protektif pengguna secara default, tanggung jawab akan terus jatuh berat pada individu untuk mengamankan dompet mereka.

Untuk saat ini, pesan di seluruh kripto sudah jelas:

• Cabut persetujuan lama.
• Gunakan izin sekali pakai.
• Perlakukan akses kontrak pintar seperti kunci pribadi.

Karena di DeFi, satu persetujuan yang terlupakan bisa merugikan jutaan.

Pengungkapan: Ini bukan nasihat perdagangan atau investasi. Selalu lakukan riset Anda sendiri sebelum membeli cryptocurrency atau berinvestasi dalam layanan apa pun.

Ikuti kami di Twitter @nulltxnews untuk tetap mendapatkan update terbaru tentang Crypto, NFT, AI, Cybersecurity, Distributed Computing, dan berita Metaverse!