Sebuah peretasan kontrak pintar besar-besaran telah diidentifikasi dalam agregator DEX on-chain SwapNet, yang mengakibatkan aset kripto senilai hampir $16,8 juta disedot.
Peck Shield, sebuah perusahaan keamanan, pertama kali melaporkan serangan ini, mencatat aksi mencurigakan pada integrasi SwapNet platform, yang dapat ditemukan melalui Matcha Meta, platform agregator meta-Dex yang dirancang oleh tim 0x. Di jaringan Base, peretas menukar $10,5 juta dalam token USDC dengan sekitar 3,655 Ether. Penyerang kemudian membridge dana ke jaringan Ethereum, yang dapat rumit untuk dilacak dan ditelusuri.
Matcha Meta menjelaskan, bagaimanapun, bahwa bug tersebut bahkan tidak berasal dari stack utamanya. Masalah bagi pengguna dimulai ketika mereka menonaktifkan fitur 0x sendiri, yang disebut "Persetujuan Satu Kali," yang dirancang untuk membatasi izin token. Dengan menonaktifkan ini, pengguna secara tidak sengaja mengizinkan persetujuan secara langsung, alih-alih membatasinya, bahkan untuk kontrak agregator bawaan seperti router SwapNet, yang digunakan oleh penyerang ini.
Matcha Meta mengakui hal ini secara publik dan menyatakan telah berkolaborasi dengan tim SwapNet. SwapNet telah menjeda kontrak pintar untuk membatasi kerusakan dan mengidentifikasi jalur eksploitasi untuk penyelidikan mereka.
Pengaturan persetujuan dalam pengawasan
Platform tersebut mendesak pengguna untuk segera mencabut persetujuan yang diberikan di luar kerangka Persetujuan Satu Kali. Ini menyoroti kontrak router SwapNet sebagai target prioritas untuk pencabutan. Tanpa intervensi, dompet akan tetap terbuka bahkan setelah eksploitasi berhenti.
Situasi ini menyoroti trade-off penting yang melekat dalam aplikasi DeFi. Dengan Persetujuan Satu Kali, setiap transaksi harus diotorisasi secara terpisah. Ini, tentu saja, membantu dengan izin yang berkurang tetapi juga memperkenalkan gesekan. Sebaliknya, persetujuan Tak Terbatas memfasilitasi perdagangan yang lancar tetapi memberikan akses persisten ke dana untuk kontrak. Ketika penyerang membahayakan kontrak, izin yang berdiri itu menjadi risiko langsung.
SwapNet belum menerbitkan post-mortem teknis yang terperinci. Tim juga belum mengonfirmasi apakah akan memberikan kompensasi kepada pengguna yang terkena dampak. Kurangnya kejelasan itu menambah tekanan pada platform agregator untuk meningkatkan transparansi dan mengencangkan standar integrasi.
Pola risiko kontrak pintar yang lebih luas
Eksploitasi SwapNet tidak terjadi dalam ruang hampa. Bahkan, pada hari yang sama, eksploitasi Ethereum yang berbeda terlihat oleh Pashov, seorang auditor keamanan, di mana sekitar 37 WBTC, bernilai lebih dari $3,1 juta, dicuri. Eksploitasi menargetkan kode sumber tertutup dan tidak terverifikasi yang diterapkan hanya beberapa minggu sebelumnya. Bahkan, kode ini hanya mengekspos bytecode, dan sulit untuk mengevaluasinya dengan mudah.
Semua serangan ini menciptakan rasa lanskap ancaman topologis pada protokol DeFi, khususnya seputar kode yang tidak terverifikasi, persetujuan token yang berkelanjutan, dan lapisan perutean kompleks yang menghubungkan berbagai protokol. Jelas, meskipun audit yang ditingkatkan dan alat yang lebih baik, aktor ancaman terus memanfaatkan optimasi desain dan titik buta integrasi.
Seiring DeFi tumbuh lebih saling terhubung, pengembang harus mengeraskan sistem persetujuan dan mengurangi asumsi kepercayaan tersembunyi. Sementara itu, pengguna harus secara aktif mengelola izin dan memahami implikasi keamanan dari fitur kenyamanan. Eksploitasi SwapNet menunjukkan bahwa pilihan konfigurasi kecil dapat memiliki konsekuensi multi-juta dolar.
Berita Kripto yang Disoroti:
Jepang Targetkan Persetujuan ETF Kripto Pertama pada 2028
