SwapNet, sebuah agregator bursa terdesentralisasi (DEX), kehilangan sekitar $13,43 juta aset kripto setelah penyerang mengeksploitasi kontrak router yang telah dikompromikan dan memiliki persetujuan token permanen dari pengguna yang menonaktifkan fitur keamanan penting.
Apa yang Terjadi: Eksploitasi Agregator DEX
Firma keamanan PeckShield reported serangan tersebut, yang menargetkan aktivitas terkait SwapNet yang dapat diakses melalui Matcha Meta, sebuah meta DEX aggregator yang dibangun oleh tim 0x. Kerentanan ini memengaruhi pengguna yang memilih keluar dari sistem One-Time Approval milik 0x, sehingga memberikan izin langsung ke kontrak agregator yang mendasarinya.
Di jaringan Base, penyerang mengonversi sekitar $10,5 juta dalam USDC (USDC) menjadi sekitar 3.655 Ether (ETH) sebelum menjembatani dana tersebut ke Ethereum (ETH).
Manuver ini adalah taktik umum yang digunakan untuk mempersulit upaya pelacakan.
"Kami menyadari adanya insiden dengan SwapNet yang mungkin dialami pengguna di Matcha Meta bagi mereka yang mematikan One-Time Approvals," ujar Matcha Meta dalam sebuah pernyataan. Platform tersebut mengidentifikasi kontrak router SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) sebagai persetujuan paling mendesak yang harus dicabut pengguna.
Also Read: South Korean Prosecutors Lose $47M Seized Bitcoin To Phishing Attack
Mengapa Penting: Kerentanan DeFi yang Terus Berulang
Insiden ini menyoroti ketegangan mendasar dalam keuangan terdesentralisasi antara kenyamanan dan keamanan. One-Time Approvals mengharuskan pengguna mengotorisasi setiap transaksi secara individual, sehingga mengurangi permukaan serangan yang persisten namun menambah friksi bagi trader aktif. Persetujuan tak terbatas menawarkan kecepatan dengan biaya memberikan kontrak pintar akses berkelanjutan ke dana pengguna.
SwapNet belum merilis laporan teknis pasca-insiden atau mengindikasikan apakah pengguna yang terdampak akan menerima kompensasi.
Pada hari yang sama, auditor keamanan Pashov menandai eksploitasi lain di jaringan utama Ethereum yang melibatkan sekitar 37 WBTC (WBTC), bernilai lebih dari $3,1 juta, yang terkait dengan kontrak tertutup dan tidak terverifikasi yang dideploy hanya 41 hari sebelumnya.
Sekitar sebulan lalu komunitas DeFi dikejutkan oleh peretasan Trust Wallet.
Trust Wallet confirmed that approximately $7 million in cryptocurrency was stolen melalui pembaruan ekstensi browser yang dikompromikan. Pelanggaran tersebut hanya memengaruhi versi 2.68 dari ekstensi Chrome, yang dirilis pada 24 Desember. Beruntung, pengguna dompet seluler tidak terdampak. Changpeng Zhao, pendiri Binance, yang memiliki Trust Wallet, mengatakan dompet tersebut akan mengganti semua pengguna yang terdampak.
Diperbarui 27 Januari untuk mencerminkan angka kerugian pengguna yang telah dikoreksi dari eksploitasi, berdasarkan data yang baru dirilis dari Matcha.
Read Next: Why Are Whales Buying Seeker While Smart Money Sells?