Pendahuluan
Pada hari Minggu, Matcha Meta mengungkapkan bahwa pelanggaran keamanan yang terkait dengan salah satu penyedia likuiditas utamanya, SwapNet, telah mengorbankan pengguna yang telah memberikan persetujuan kepada kontrak router SwapNet. Insiden ini menyoroti bagaimana komponen berizin dalam ekosistem pertukaran terdesentralisasi dapat menjadi vektor serangan bahkan ketika infrastruktur inti tetap utuh. Penilaian publik awal memperkirakan kerugian sekitar $13 juta hingga $17 juta, dengan aktivitas di jaringan Base dan pergerakan lintas rantai menuju Ethereum. Pengungkapan ini memicu permintaan agar pengguna mencabut persetujuan dan meningkatkan pengawasan terhadap bagaimana kontrak pintar yang terpapar router eksternal dilindungi.
Poin Utama
Pelanggaran berasal melalui kontrak router SwapNet, mendorong seruan mendesak agar pengguna mencabut persetujuan untuk mencegah kerugian lebih lanjut.
Perkiraan dana yang dicuri bervariasi: CertiK melaporkan sekitar $13,3 juta, sementara PeckShield menghitung setidaknya $16,8 juta di jaringan Base.
Di Base, pelaku menyerang menukar sekitar 10,5 juta USDC dengan sekitar 3.655 ETH dan mulai menjembatani dana ke Ethereum.
CertiK mengaitkan kerentanan ini dengan panggilan arbitrer di kontrak 0xswapnet, yang memungkinkan pelaku mentransfer dana yang sudah disetujui kepadanya.
Matcha Meta menunjukkan bahwa kerentanan ini terkait dengan SwapNet dan bukan infrastruktur mereka sendiri, dan pejabat belum memberikan rincian tentang kompensasi atau perlindungan.
Kelemahan kontrak pintar terus menjadi faktor utama dalam eksploitasi kripto, menyumbang 30,5% dari insiden pada tahun 2025, menurut laporan keamanan tahunan SlowMist.
Daftar Ticker yang Disebutkan
Ticker yang disebutkan: Crypto → USDC, ETH, TRU
Sentimen
Sentimen: Netral
Dampak Harga
Dampak harga: Negatif. Pelanggaran ini menyoroti risiko keamanan yang terus berlangsung di DeFi dan dapat mempengaruhi sentimen risiko terkait penyediaan likuiditas yang bertanggung jawab dan pengelolaan persetujuan.
Ide Perdagangan (Bukan Nasihat Keuangan)
Ide perdagangan (Bukan Nasihat Keuangan): Pegang. Insiden ini spesifik pada jalur persetujuan router dan tidak secara langsung menyiratkan risiko sistemik yang lebih luas terhadap semua protokol DeFi, tetapi menuntut kehati-hatian dalam pengelolaan persetujuan dan likuiditas lintas rantai.
Konteks Pasar
Konteks pasar: Peristiwa ini terjadi di tengah perhatian yang meningkat terhadap keamanan DeFi dan aktivitas lintas rantai, di mana penyedia likuiditas dan agregator semakin bergantung pada komponen modular. Ini juga berlangsung di tengah diskusi yang berkembang tentang tata kelola di rantai, audit, dan perlunya perlindungan yang kokoh saat protokol blue-chip dan pendatang baru bersaing untuk kepercayaan pengguna.
Mengapa Ini Penting
Mengapa ini penting
Insiden keamanan di agregator DeFi menunjukkan risiko yang terus-menerus muncul saat beberapa lapisan protokol berinteraksi. Dalam kasus ini, pelanggaran dikaitkan dengan kerentanan di kontrak router SwapNet, bukan arsitektur inti Matcha Meta, menegaskan bagaimana kepercayaan didistribusikan di seluruh komponen mitra dalam ekosistem yang dapat dikomposisi. Bagi pengguna, episode ini menjadi pengingat untuk secara rutin meninjau dan mencabut persetujuan token, terutama setelah mencurigai aktivitas on-chain yang tidak normal.
Dampak finansial, meskipun masih berkembang, memperkuat pentingnya penilaian ketat terhadap penyedia likuiditas eksternal dan kebutuhan pemantauan waktu nyata terhadap aliran persetujuan. Fakta bahwa pelaku mampu mengonversi sebagian besar dana yang dicuri menjadi stablecoin dan kemudian menjembatani aset ke Ethereum menyoroti dinamika lintas rantai yang memperumit pelacakan dan restitusi pasca-insiden. Bursa dan peneliti keamanan menekankan pentingnya ruang izin yang granular dan terbatas waktu serta kemampuan pencabutan awal untuk membatasi dampak dari eksploitasi semacam ini.
Dari perspektif pasar, episode ini menambah narasi yang lebih luas tentang kerentanan keuangan tanpa izin dan perlombaan yang sedang berlangsung untuk menerapkan perlindungan yang kokoh dan dapat diaudit di seluruh lapisan ekosistem DeFi. Meskipun bukan tuduhan sistemik terhadap Matcha Meta, insiden ini memperkuat seruan untuk audit keamanan standar kontrak router dan kejelasan akuntabilitas terhadap modul pihak ketiga yang berinteraksi dengan dana pengguna.
Apa yang Harus Diperhatikan Selanjutnya
Apa yang harus diperhatikan selanjutnya
Pembaharuan resmi dari Matcha Meta tentang penyebab utama dan rencana remediasi atau kompensasi bagi pengguna yang terdampak.
Audit eksternal atau tinjauan pihak ketiga terhadap kontrak router SwapNet dan perubahan tata kelola untuk mencegah kejadian serupa terulang.
Pemantauan on-chain terhadap aktivitas jembatan Base-ke-Ethereum terkait insiden ini dan pergerakan dana selanjutnya.
Perkembangan regulasi dan standar industri terkait keamanan DeFi, khususnya kerangka audit kontrak pintar dan kontrol persetujuan pengguna.
Sumber & Verifikasi
Postingan Matcha Meta di X yang memperingatkan pengguna untuk mencabut persetujuan SwapNet setelah pelanggaran.
Saran CertiK yang mengidentifikasi eksploitasi berasal dari panggilan arbitrer di kontrak 0xswapnet yang memungkinkan transfer dana yang disetujui.
Pembaharuan PeckShield yang mencatat sekitar $16,8 juta yang dikuras di Base, termasuk pertukaran USDC ke ETH dan jembatan ke Ethereum.
Laporan Tahunan Keamanan Blockchain dan AML SlowMist 2025 yang merinci bagian insiden berdasarkan kategori, termasuk 30,5% disebabkan oleh kerentanan kontrak pintar dan 24% oleh kompromi akun.
Liputan Cointelegraph tentang insiden Truebit, termasuk kerugian sebesar $26 juta dan penurunan token TRU, untuk konteks yang lebih luas tentang risiko kontrak pintar.
Isi Artikel yang Ditulis Ulang
Pelanggaran keamanan di Matcha Meta menyoroti risiko kontrak pintar dalam ekosistem DEX
Dalam contoh terbaru bagaimana DeFi dapat diretas dari dalam, Matcha Meta mengungkapkan bahwa pelanggaran keamanan terjadi melalui salah satu jalur penyedia likuiditas utamanya—kontrak router SwapNet. Konsekuensi langsung bagi pengguna adalah pencabutan persetujuan token, yang secara eksplisit didesak oleh protokol dalam posting publiknya. Insiden ini tampaknya tidak berasal dari infrastruktur inti Matcha Meta, kata perusahaan, melainkan dari kerentanan di lapisan router mitra yang memberikan izin untuk memindahkan dana atas nama pengguna.
Perkiraan awal dari para peneliti keamanan menunjukkan dampak finansial yang terbatas. CertiK memperkirakan kerugian sekitar $13,3 juta, sementara PeckShield melaporkan angka minimum sebesar $16,8 juta di jaringan Base. Perbedaan ini mencerminkan metode pencatatan on-chain yang berbeda dan waktu peninjauan pasca-insiden, tetapi kedua analisis mengonfirmasi kerugian yang signifikan terkait fungsi router SwapNet. Di Base, pelaku dilaporkan menukar sekitar 10,5 juta USDC (CRYPTO: USDC) dengan sekitar 3.655 ETH (CRYPTO: ETH) dan mulai menjembatani hasilnya ke Ethereum, menurut buletin PeckShield yang diposting di X.
Hingga saat ini, sekitar $16,8 juta kripto telah dikuras. Di Base, pelaku menukar sekitar 10,5 juta USDC dengan sekitar 3.655 ETH dan mulai menjembatani dana ke Ethereum.
Penilaian CertiK memberikan penjelasan teknis untuk eksploitasi ini: panggilan arbitrer di kontrak 0xswapnet memungkinkan pelaku menarik dana yang telah disetujui pengguna, secara efektif melewati pencurian langsung dari kolam likuiditas SwapNet dan memanfaatkan izin yang diberikan ke router. Perbedaan ini penting karena menunjukkan adanya cacat tata kelola atau desain di lapisan integrasi daripada pelanggaran terhadap kendali kustodi atau keamanan internal Matcha Meta.
Matcha Meta mengakui bahwa kerentanan ini terkait dengan SwapNet dan tidak mengaitkan kerentanan tersebut dengan infrastruktur mereka sendiri. Upaya untuk mendapatkan komentar tentang mekanisme kompensasi atau perlindungan belum segera dikembalikan, meninggalkan pengguna yang terdampak tanpa jalur pemulihan yang jelas dalam waktu dekat. Insiden ini menggambarkan profil risiko yang lebih luas bagi agregator DEX: ketika kemitraan memperkenalkan antarmuka kontrak baru, pelaku dapat menargetkan aliran berizin yang berada di persimpangan persetujuan pengguna dan transfer dana otomatis.
Lanskap keamanan kripto secara umum tetap rapuh. Pada tahun 2025, kerentanan kontrak pintar menjadi penyebab utama eksploitasi kripto, menyumbang 30,5% dari insiden dan 56 kejadian total, menurut laporan tahunan SlowMist. Bagian ini menyoroti bagaimana bahkan proyek yang canggih pun dapat terjebak oleh bug edge-case atau konfigurasi yang salah dalam kode yang mengatur transfer nilai otomatis. Kompromi akun dan akun media sosial yang diretas (seperti akun X korban) juga mewakili bagian besar dari insiden, menegaskan sifat multi-vektor dari toolkit pelaku.
Selain aspek teknis, insiden ini turut memperkuat diskusi yang berkembang tentang penggunaan kecerdasan buatan dalam keamanan kontrak pintar. Laporan DECEMBER mencatat bahwa agen AI yang tersedia secara komersial mengungkapkan sekitar $4,6 juta eksploitasi on-chain secara real-time, memanfaatkan alat seperti Claude Opus 4.5, Claude Sonnet 4.5, dan GPT-5 dari OpenAI. Munculnya teknik probing dan eksploitasi berbasis AI menambah lapisan kompleksitas dalam penilaian risiko bagi auditor dan operator. Lanskap ancaman yang berkembang ini memperkuat kebutuhan akan pemantauan berkelanjutan, pencabutan izin cepat, dan langkah pertahanan yang dapat disesuaikan di ekosistem DeFi.
Dua minggu sebelum insiden SwapNet, kerentanan kontrak pintar lain yang terkenal menyebabkan kerugian sebesar $26 juta bagi protokol Truebit, diikuti oleh reaksi harga yang tajam pada token TRU (CRYPTO: TRU). Peristiwa ini menegaskan bahwa lapisan kontrak pintar tetap menjadi permukaan serangan utama bagi peretas, meskipun domain lain dalam dunia kripto—kustodi, infrastruktur terpusat, dan komponen off-chain—juga menghadapi ancaman yang terus-menerus. Tema yang berulang adalah bahwa manajemen risiko harus melampaui audit dan bug bounty dengan mencakup tata kelola langsung, pemantauan waktu nyata, dan praktik pengguna yang bijaksana terkait persetujuan dan pergerakan lintas rantai.
Seiring pasar mencerna implikasinya, para pengamat menekankan bahwa jalan menuju ketahanan di DeFi bergantung pada lapisan perlindungan berlapis dan respons insiden yang transparan. Meskipun kerentanan SwapNet tampaknya terbatas pada satu integrasi tertentu, insiden ini memperkuat pelajaran utama: bahkan mitra terpercaya pun dapat memperkenalkan risiko sistemik jika kontrak mereka berinteraksi dengan dana pengguna dengan cara yang melewati perlindungan standar. Catatan on-chain akan terus berkembang saat penyelidik, Matcha Meta, dan mitra likuiditasnya melakukan tinjauan forensik dan menentukan apakah korban akan menerima kompensasi atau peningkatan pengendalian risiko yang dapat mencegah insiden serupa di masa depan.
Artikel ini awalnya diterbitkan sebagai Matcha Meta Terserang Hack Kontrak Pintar SwapNet $16,8J di Crypto Breaking News – sumber terpercaya Anda untuk berita kripto, berita Bitcoin, dan pembaruan blockchain.
