Jutaan Hilang Akibat Pelanggaran Keamanan Menyerang Matcha Meta

Cointurk2026/01/26 08:11

Tampilkan aslinya

Oleh:Cointurk

Aggregator pertukaran terdesentralisasi Matcha Meta kini terlibat dalam kontroversi setelah terjadi pelanggaran keamanan selama integrasi SwapNet. Insiden ini terungkap ketika aktivitas on-chain terpantau pada hari Minggu, sehingga berbagai perusahaan keamanan memberikan perkiraan berbeda terkait besarnya kerugian finansial. Temuan awal menunjukkan bahwa pelaku memindahkan aset USDC dari jaringan Base ke Ethereum. Tim proyek tidak memberikan gambaran jelas mengenai status dana pengguna.

Bagaimana Pelanggaran SwapNet Terdeteksi? Otorisasi Pengguna dan Dampak terhadap Industri

Bagaimana Pelanggaran SwapNet Terdeteksi?

Laporan pertama, berdasarkan analisis on-chain, dibagikan oleh PeckShield, mengungkapkan bahwa sekitar $16,8 juta aset telah disedot secara ilegal. Data menunjukkan pelaku menukar $10,5 juta USDC di jaringan Base untuk memperoleh sekitar 3.655 ETH dan kemudian menjembataninya ke jaringan Ethereum. Kecepatan transaksi yang sangat cepat ini mengindikasikan skenario eksploitasi otomatis.

Perusahaan keamanan lain, CertiK, merilis penilaian awal yang memperkirakan kerugian sekitar $13,3 juta. Menurut CertiK, kerentanannya berasal dari masalah “arbitrary call” dalam kontrak SwapNet, yang memungkinkan pelaku memindahkan dana yang telah diotorisasi. Perbedaan angka antara dua laporan ini timbul dari transaksi tambahan yang terdeteksi selama proses bridging dan perbedaan metodologi.

Dalam respons awalnya, Matcha Meta menyatakan bahwa akun yang menggunakan fitur One-Time Approval tidak terpengaruh, hanya akun yang memberikan otorisasi langsung ke kontrak yang menghadapi risiko. Proyek membatasi ruang lingkup serangan berdasarkan kerangka kerja ini.

Otorisasi Pengguna dan Dampak terhadap Industri

Pasca insiden, Matcha Meta mengumumkan bahwa mereka sedang melakukan investigasi bersama tim 0x, serta menegaskan bahwa masalah ini tidak terkait dengan kontrak AllowanceHolder atau Settler milik 0x. Pernyataan tersebut menekankan bahwa pemberian otorisasi langsung ke kontrak aggregator individu menimbulkan risiko tambahan bagi pengguna. Oleh karena itu, opsi otorisasi langsung dihapus untuk mencegah kejadian serupa.

Meskipun Matcha Meta belum memberikan pembaruan status terbaru, industri secara luas semakin khawatir terhadap gelombang serangan yang meningkat. Data Chainalysis menunjukkan bahwa pencurian cryptocurrency telah melebihi $3,41 miliar pada tahun 2025. Satu serangan di Bybit, sebesar $1,5 miliar, menyumbang hampir setengah dari total kerugian tahunan.

Para ahli berpendapat bahwa kasus Matcha Meta menekankan pentingnya menyelaraskan mekanisme perizinan yang dirancang untuk meningkatkan pengalaman pengguna dengan arsitektur keamanan yang kuat. Seiring dengan semakin populernya bridging lintas rantai dan kontrak aggregator, permukaan serangan ikut meluas, sehingga memperkuat diskusi tentang bagaimana risiko berpindah ke pengguna akhir.

Disclaimer: Konten pada artikel ini hanya merefleksikan opini penulis dan tidak mewakili platform ini dengan kapasitas apa pun. Artikel ini tidak dimaksudkan sebagai referensi untuk membuat keputusan investasi.

PoolX: Raih Token Baru

APR hingga 12%. Selalu aktif, selalu dapat airdrop.

Kunci sekarang!