Akar Kuadrat dari $17 Juta: Kerentanan Keamanan Terungkap di SwapNet dan Aperture Finance

DeFi protocols SwapNet dan Aperture Finance mengalami pelanggaran keamanan yang menghancurkan pada 26 Januari 2026, yang mengakibatkan kerugian sebesar $17 juta. Insiden ini menyoroti kelemahan kritis dalam mekanisme validasi kontrak pintar yang terus mengganggu ekosistem keuangan terdesentralisasi. Auditor keamanan di BlockSec mengaitkan insiden ini dengan validasi input yang tidak memadai, sebuah cacat yang tampaknya sederhana namun menyebabkan konsekuensi katastrofik bagi pengguna dan protokol.

Validasi Input: Lapisan Keamanan yang Terabaikan

Akar penyebab dari kedua serangan ini berpusat pada validasi input yang tidak cukup dalam kontrak korban. Menurut analisis teknis BlockSec, yang dilaporkan oleh Foresight News, celah validasi ini mengekspos kontrak pintar terhadap kemampuan panggilan sembarangan—kerentanan berbahaya yang memungkinkan penyerang menjalankan fungsi yang tidak diinginkan. Cacat ini menjadi sangat berbahaya ketika digabungkan dengan persetujuan token yang sudah diberikan pengguna kepada protokol tersebut.

Para penyerang memanfaatkan kelemahan ini dengan memanfaatkan persetujuan token yang sudah ada dan memanfaatkan fungsi transferFrom. Karena pengguna telah mengizinkan kontrak ini untuk memindahkan token mereka, fungsi panggilan sembarangan memungkinkan penyerang melewati alur transaksi normal dan menguras aset secara langsung. Ini adalah kasus klasik di mana otentikasi ada, tetapi batas otorisasi tidak ditegakkan dengan baik.

Risiko Sistemik dan Implikasi Lebih Luas

Kerugian sebesar $17 juta berasal dari apa yang seharusnya dapat dicegah dengan praktik keamanan standar. Validasi input adalah dasar dari keamanan kontrak pintar—pengembang harus secara ketat memverifikasi semua input pengguna dan panggilan fungsi eksternal sebelum eksekusi. Namun insiden ini menunjukkan bahwa bahkan protokol yang sudah mapan pun bisa mengabaikan perlindungan dasar ini, menunjukkan adanya kesenjangan antara praktik terbaik keamanan dan penerapannya di berbagai proyek DeFi.

Polanya mengeksploitasi menunjukkan bagaimana penyerang secara sistematis mencari celah berbasis izin ini. Setelah persetujuan token diberikan kepada sebuah protokol, keamanan aset tersebut sepenuhnya bergantung pada kemampuan kontrak untuk menggunakan persetujuan tersebut secara bertanggung jawab. Kegagalan dalam validasi input sepenuhnya merusak asumsi ini, mengubah persetujuan pengguna menjadi beban daripada fitur kenyamanan.

Apa yang Harus Dipelajari Proyek DeFi

Insiden ini memperkuat pelajaran penting bagi sektor DeFi. Protokol harus menerapkan validasi input yang ketat sebelum menjalankan panggilan fungsi apa pun, menjaga prinsip hak istimewa paling kecil dalam jumlah persetujuan token, dan mengutamakan audit keamanan dari perusahaan terkemuka seperti BlockSec sebelum peluncuran mainnet. Pengguna, sementara itu, harus tetap berhati-hati dalam memberikan persetujuan token tanpa batas dan memantau posisi mereka di berbagai protokol.