Aggregator decentralized exchange (DEX) on-chain, SwapNet, mengalami eksploitasi smart contract besar yang mengakibatkan hampir US$16,8 juta aset kripto raib.
Kejadian ini menyoroti risiko keamanan yang terus ada karena persetujuan token dan kontrak routing pihak ketiga di sektor decentralized finance (DeFi).
SponsoredOn-Chain DEX Aggregator SwapNet Alami Eksploitasi Sebesar US$16,8 Juta
PeckShield melaporkan bahwa pelaku eksploitasi menargetkan aktivitas yang terhubung dengan SwapNet yang bisa diakses melalui Matcha Meta, yaitu meta DEX aggregator buatan tim 0x.
Di jaringan Base, pelaku ini menukar sekitar US$10,5 juta USDC menjadi kurang lebih 3.655 ETH sebelum mengirim dana ke Ethereum, sebuah taktik umum untuk mempersulit pelacakan dan proses pemulihan.
Matcha Meta menjelaskan bahwa sumber eksploitasi bukan dari infrastruktur inti mereka. Pengguna yang terdampak adalah mereka yang mematikan sistem One-Time Approval milik 0x, fitur keamanan yang memang dirancang untuk membatasi izin token berkelanjutan.
Pengguna yang menonaktifkan fitur ini memberikan persetujuan langsung ke kontrak aggregator, termasuk router SwapNet, sehingga membuka celah untuk serangan.
“Kami sadar ada insiden di SwapNet yang mungkin dialami pengguna Matcha Meta, bagi mereka yang menonaktifkan One-Time Approvals,” terang Matcha Meta dalam pernyataan resminya.
Platform ini juga menegaskan bahwa mereka tengah berkoordinasi dengan tim SwapNet, yang kini sementara menonaktifkan kontrak terpengaruh demi investigasi lebih lanjut.
Sponsored SponsoredUntuk pencegahan, Matcha Meta mengimbau para pengguna agar segera mencabut persetujuan yang telah terlanjur diberikan secara individual pada aggregator di luar kerangka One-Time Approval milik 0x.
Platform tersebut menyoroti kontrak router SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) sebagai izin yang paling mendesak untuk dicabut. Jika tidak dicabut, maka wallet tetap bisa terancam meskipun eksploitasi sudah dihentikan.
Trade-Off Keamanan DeFi: Kenyamanan vs Keamanan di Tengah Maraknya Eksploitasi Smart Contract
Kejadian ini mencerminkan dilema klasik di DeFi antara kenyamanan dan keamanan. Fitur One-Time Approval membuat pengguna harus menyetujui tiap transaksi secara terpisah, sehingga mengurangi risiko titik serangan. Tapi, fitur ini juga menambah langkah bagi trader aktif.
SponsoredPersetujuan tanpa batas memang mempercepat proses, tapi juga memberikan smart contract akses jangka panjang ke dana pengguna. Kalau kontrak ini sampai terkompromi, risikonya justru menjadi lebih besar.
Sampai saat ini SwapNet belum merilis laporan teknis lengkap ataupun menyatakan apakah pengguna terdampak akan mendapat kompensasi. Kondisi ini masih menyisakan pertanyaan tentang akuntabilitas dan proses pemulihan.
Kurangnya kejelasan langsung tersebut sepertinya akan semakin memicu perhatian terhadap praktik persetujuan dan integrasi aggregator di seluruh ekosistem DeFi.
Eksploitasi Ethereum Lain Soroti Risiko Kontrak Tertutup yang Tidak Terverifikasi
Kejadian ini terjadi di tengah pola serangan smart contract dan insiden keamanan di pasar kripto yang terus berulang.
Sponsored SponsoredDi hari yang sama, auditor keamanan Pashov juga melaporkan eksploitasi terpisah di Ethereum mainnet yang melibatkan sekitar 37 WBTC, nilainya lebih dari US$3,1 juta.
Eksploitasi ini berkaitan dengan kontrak tertutup yang belum diverifikasi dan baru dibuat 41 hari sebelumnya. Kontrak tersebut hanya mempublikasikan bytecode yang tidak bisa dibaca manusia, sehingga tidak bisa diaudit secara publik.
Rangkaian insiden ini sekaligus menegaskan betapa suburnya ekosistem DeFi bagi para penyerang. Di antaranya:
- Kode yang tidak terverifikasi
- Persetujuan yang terus-menerus, dan
- Lapisan routing yang kompleks.
Meski sudah bertahun-tahun audit dan perbaikan keamanan dilakukan, DeFi masih harus berhadapan dengan kerentanan struktural. Hal ini membuat pengembang dan pengguna perlu menyeimbangkan antara kemudahan penggunaan dengan manajemen risiko.
