SwapNet, sebuah agregator pertukaran terdesentralisasi, kehilangan sekitar 16,8 juta dolar aset dalam cryptocurrency setelah penyerang mengeksploitasi kontrak router yang dikompromikan yang mana pengguna telah memberikan izin token yang terus-menerus dengan menonaktifkan fitur keamanan penting.
Apa yang terjadi: celah pada agregator DEX
Perusahaan keamanan PeckShield melaporkan serangan tersebut, yang menargetkan aktivitas terkait SwapNet yang dapat diakses melalui Matcha Meta, sebuah agregator DEX meta yang dikembangkan oleh tim 0x. Kerentanan tersebut berdampak pada pengguna yang telah menonaktifkan sistem 'otorisasi satu kali' (One-Time Approval) dari 0x, memberikan izin langsung kepada kontrak agregasi yang mendasarinya.
Di jaringan Base, penyerang telah mengonversi sekitar 10,5 juta dolar menjadi USDC (USDC) menjadi sekitar 3.655 Ether (ETH) sebelum mentransfer dana ke Ethereum (ETH).
Taktik ini adalah manuver umum yang digunakan untuk mempersulit upaya pelacakan.
"Kami menyadari adanya insiden yang melibatkan SwapNet di mana beberapa pengguna Matcha Meta yang telah menonaktifkan otorisasi satu kali mungkin telah terekspos," kata Matcha Meta dalam sebuah pernyataan. Platform tersebut telah mengidentifikasi kontrak router SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) sebagai otorisasi yang paling mendesak untuk dicabut oleh pengguna.
Baca juga: Jaksa Korea Selatan Kehilangan $47M Bitcoin yang Disita Karena Serangan Phishing
Mengapa ini penting: kerentanan DeFi yang terus-menerus
Insiden ini menyoroti ketegangan mendasar dalam keuangan terdesentralisasi antara kenyamanan dan keamanan. Otorisasi satu kali mengharuskan pengguna untuk memvalidasi setiap transaksi secara individual, yang mengurangi permukaan serangan yang terus-menerus tetapi menambah gesekan bagi trader yang sering. Otorisasi tanpa batas menawarkan kecepatan dengan mengorbankan akses terus-menerus kontrak pintar ke dana pengguna.
SwapNet belum menerbitkan laporan teknis pasca-mortem atau menunjukkan apakah pengguna yang terkena dampak akan diberi kompensasi.
Pada hari yang sama, auditor keamanan Pashov melaporkan celah lain di mainnet Ethereum yang melibatkan sekitar 37 WBTC (WBTC), senilai lebih dari $3,1 juta, terkait dengan kontrak yang ditutup dan tidak diverifikasi yang diluncurkan hanya 41 hari sebelumnya.
Sekitar sebulan yang lalu, komunitas DeFi terkejut oleh peretasan Trust Wallet.
Trust Wallet mengonfirmasi bahwa sekitar $7 juta dalam cryptocurrency dicuri melalui pembaruan yang dikompromikan dari ekstensi browser. Celah tersebut hanya mempengaruhi versi 2.68 dari ekstensi Chrome, yang diterbitkan pada 24 Desember. Untungnya, pengguna aplikasi seluler tidak terpengaruh. Changpeng Zhao, pendiri Binance, pemilik Trust Wallet, menyatakan bahwa dompet tersebut akan mengkompensasi semua pengguna yang terpengaruh.
Baca selanjutnya: Mengapa Paus Membeli Seeker Sementara Uang Cerdas Menjual?
