DEX ShibaSwap Belum Lolos Audit, Celah Keamanan di Staking

Valentin Mihov, pakar blockchain mengatakan ada “celah keamanan” di smart contract di ShibaSwap besutan Shiba Inu (SHIB), di fitur staking. Developer ShibaInu sedang memperbaikinya. Meluncurnya decentralized exchange (DEX) ShibaSwap kemarin justru menimbulkan tanda tanya. Pasalnya, DEX itu belum lolos audit oleh Certik.

Walaupun di sesi AMA beberapa hari lalu pihak Certik memastikan smart contract di ShibaSwap aman, tetapi Certik sampai detik ini belum mengeluarkan dokumen resmi lolos audit. Di situs Certik sendiri status audit terhadap smart contract produk terkait Shiba Inu masih dalam proses.Tantangan menarik pun datang dari Valentin Mihov, pakar blockchain yang pernah berlabuh di Santiment, perusahaan pengkajian blockchain. Di Twitter dia menunjukkan ada celah keamanan yang ditemukan di smart contract ShibaSwap, khususnya di bagian Staking. ShibaSwap menyebut fitur itu sebagai “Bury”.

Di fitur itu, pengguna bisa mendapatkan token tambahan (dalam persen) atas token SHIB, BONE, dan LEASH yang ditempatkan di satu pool.

Lazimnya fitur staking di ranah DeFi seperti ini, pengguna pada prinsipnya mendapatkan pendapatan pasif, selayaknya “deposito” di bank. Hanya saja, ini punya aspek jaminan alias collateral, yakni ketiga token tersebut dan pengguna bisa mendapatkan tambahan jumlah token dalam periode waktu tertentu.

“…Saya menyarankan Anda untuk berhati-hati. Staking contract [kode pada smart contract fitur stakingRed] memungkinkan dana [token-Red] dipindahkan ke akun wallet berbeda dan saat ini dikendalikan oleh satu EOA. Dana yang di-stake bisa kapan saja ditarik oleh developer,” kata Mihov, Selasa (6/7/2021).

api, Mihov memastikan masih ada perbaikan yang sedang berlangsung terhadap smart contract itu, tetapi belum benar 100 persen.

 

Berdasarkan dokumen yang diterbitkan oleh Ethereum, EOA (Externally Owned Account) adalah salah satu jenis akun wallet di khasanah blockchain Ethereum, selain Contracts Accounts (CA).

Pertama, EOA pada prinsipnya bisa memuat saldo ETH atau token lain under Ethereum.

Kedua, dapat memuat transaksi, baik transfer terhadap dana di wallet itu ataupun untuk memicu transaksi tertentu di smart contract.

Ketiga, dikendalikan penuh dengan private key.

Keempat, EOA tidak memiliki kode khusus yang tertaut dengan dirinya sendiri.

Temuan celah itu juga ditegaskan oleh pengguna Twitter lain, Banteq.

“…Dana bisa dicuri dan teralihkan ke satu address tunggal…” sebutnya.

Namun, Banteq memastikan, pihak developer ShibaSwap telah menghubunginya, bahwa kode di smart contract itu sedang diperbaiki dengan menambahkan kode khusus untuk fungsi “multisig 6/9” dan “timelock“.

Fungsi “multisig 6/9” adalah multisignature alias pengesahan ganda untuk semua transaksi, minimal 6 dari 9 pengesahan.

Sedangkan “timelock” adalah kendali transaksi berdasarkan periode waktu yang sudah ditentukan sebelumnya di dalam kode. Ini biasanya bermanfaat untuk menekan risiko penyerangan, karena setiap transaksi punya batas waktu khusus.

TVL US$1 Milyar

Sementara itu nilai kripto yang ter-lock (TVL/total value locked) di ShibaSwap sudah mencapai US$1 milyar. Nilai itu adalah total dari nilai tukar kripto SHIB dan kripto lain yang ada di DEX itu.

Hasil audit Certik memang bukanlah jaminan aman 100 persen. Tetapi setidaknya, pengguna mendapatkan “rasa aman psikologis” dalam penggunaan ShibSwap. Pasalnya, sejumlah kasus peretasan akibat celah smart contract di DEX ataupun jenis DeFi lainnya, kerap terjadi dan merugikan banyak pengguna.

Baca juga : Uniswap Luncurkan V3, Bagaimana Dampaknya

Tags: