Sebuah perusahaan keamanan Blockchain baru-baru ini menemukan dua kerentanan serius dalam kontrak koleksi digital tertentu. Kedua kerentanan ini dapat menyebabkan kerugian signifikan bagi pengguna dan tim proyek.
Kerentanan pertama ada di dalam fungsi pemrosesan pengembalian dana. Fungsi ini menggunakan loop untuk mengembalikan dana kepada semua pengguna, tetapi jika ada kontrak jahat di antara mereka, hal ini dapat menyebabkan seluruh proses pengembalian dana gagal. Ini berarti transaksi pengembalian dana untuk semua pengguna dapat dibatalkan. Untungnya, kerentanan ini belum pernah dieksploitasi.
Untuk menghindari masalah serupa, disarankan agar tim proyek mengambil langkah-langkah berikut saat merancang mekanisme pengembalian dana:
Pembatasan hanya pengguna akun eksternal (EOA) yang dapat berpartisipasi dalam tim proyek
Menggunakan token ERC20 (seperti WETH) sebagai pengganti aset asli
Rancang fitur yang memungkinkan pengguna untuk mengajukan pengembalian dana sendiri, bukannya pengembalian dana secara massal.
Kekurangan kedua adalah kesalahan program yang muncul dalam fungsi penarikan dana proyek. Karena kesalahan dalam penulisan pernyataan kondisi, tim proyek tidak dapat menarik dana dari kontrak. Secara spesifik, fungsi membandingkan variabel yang salah, sehingga kondisi tidak pernah dapat terpenuhi. Kesalahan ini menyebabkan aset senilai lebih dari 34 juta dolar terkunci secara permanen dalam kontrak.
Kejadian ini sekali lagi mengungkapkan bahwa bahkan proyek terkenal pun dapat mengalami kesalahan dasar. Ini menekankan pentingnya melakukan pengujian yang memadai dan menjaga kesadaran keamanan selama proses pengembangan. Meskipun dalam bidang keuangan terdesentralisasi (DeFi), audit keamanan telah menjadi praktik umum, namun dalam proyek koleksi digital, tahap ini tampaknya masih kurang. Kelalaian kali ini secara langsung menyebabkan kerugian besar, menyoroti perlunya proyek koleksi digital juga memberikan perhatian pada audit keamanan.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Celah kontrak koleksi digital menyebabkan 34 juta dolar terkunci, audit keamanan sangat mendesak.
Sebuah perusahaan keamanan Blockchain baru-baru ini menemukan dua kerentanan serius dalam kontrak koleksi digital tertentu. Kedua kerentanan ini dapat menyebabkan kerugian signifikan bagi pengguna dan tim proyek.
Kerentanan pertama ada di dalam fungsi pemrosesan pengembalian dana. Fungsi ini menggunakan loop untuk mengembalikan dana kepada semua pengguna, tetapi jika ada kontrak jahat di antara mereka, hal ini dapat menyebabkan seluruh proses pengembalian dana gagal. Ini berarti transaksi pengembalian dana untuk semua pengguna dapat dibatalkan. Untungnya, kerentanan ini belum pernah dieksploitasi.
Untuk menghindari masalah serupa, disarankan agar tim proyek mengambil langkah-langkah berikut saat merancang mekanisme pengembalian dana:
Kekurangan kedua adalah kesalahan program yang muncul dalam fungsi penarikan dana proyek. Karena kesalahan dalam penulisan pernyataan kondisi, tim proyek tidak dapat menarik dana dari kontrak. Secara spesifik, fungsi membandingkan variabel yang salah, sehingga kondisi tidak pernah dapat terpenuhi. Kesalahan ini menyebabkan aset senilai lebih dari 34 juta dolar terkunci secara permanen dalam kontrak.
Kejadian ini sekali lagi mengungkapkan bahwa bahkan proyek terkenal pun dapat mengalami kesalahan dasar. Ini menekankan pentingnya melakukan pengujian yang memadai dan menjaga kesadaran keamanan selama proses pengembangan. Meskipun dalam bidang keuangan terdesentralisasi (DeFi), audit keamanan telah menjadi praktik umum, namun dalam proyek koleksi digital, tahap ini tampaknya masih kurang. Kelalaian kali ini secara langsung menyebabkan kerugian besar, menyoroti perlunya proyek koleksi digital juga memberikan perhatian pada audit keamanan.