Baru-baru ini, sebuah perusahaan keamanan menemukan dua kerentanan serius dalam kontrak koleksi digital, yang memicu perhatian luas di industri. Kedua kerentanan ini dapat menyebabkan aset pengguna terkunci dan dana tim proyek tidak dapat ditarik.
Kerentanan pertama ada pada fungsi pengembalian dana. Fungsi ini melakukan pengembalian dana untuk semua pengguna melalui loop, tetapi jika terdapat kontrak jahat di antara mereka, hal ini dapat menyebabkan seluruh proses pengembalian dana terputus, yang mempengaruhi keamanan dana semua pengguna. Untungnya, kerentanan ini tidak dieksploitasi oleh peretas.
Terkait hal ini, para ahli di industri menyarankan agar tim proyek mengambil langkah-langkah keamanan berikut saat merancang mekanisme pengembalian dana:
Membatasi peserta hanya untuk akun eksternal (EOA)
Menggunakan token ERC20 (seperti WETH) sebagai pengganti aset asli
Rancang mekanisme di mana pengguna dapat secara aktif meminta pengembalian dana, untuk menghindari operasi pengembalian dana secara massal.
Kelemahan kedua disebabkan oleh kesalahan logika kode. Dalam fungsi penarikan dana oleh tim proyek, terdapat kesalahan dalam kondisi pemeriksaan, yang menyebabkan syarat penarikan tidak pernah dapat dipenuhi. Kesalahan ini secara langsung mengakibatkan lebih dari 34 juta dolar AS dana terkunci secara permanen dalam kontrak, tidak dapat diambil.
Kejadian ini sekali lagi menyoroti pentingnya audit keamanan dalam proses pengembangan proyek. Meskipun di bidang DeFi, audit keamanan telah menjadi praktik standar, namun dalam proyek koleksi digital, tahap ini sering kali diabaikan. Kerugian besar yang ditimbulkan oleh kejadian ini jelas memberikan peringatan bagi industri.
Para ahli menyerukan agar proyek koleksi digital harus menulis cukup kasus uji selama proses pengembangan, membina kesadaran keamanan dasar, dan memperkenalkan mekanisme audit keamanan profesional untuk mencegah terjadinya risiko serupa. Ini tidak hanya berkaitan dengan reputasi dan perkembangan proyek itu sendiri, tetapi juga secara langsung mempengaruhi keamanan aset pengguna.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Proyek koleksi digital mengalami celah kontrak yang mengakibatkan 34 juta dolar terkunci, para ahli mendesak perhatian pada audit keamanan.
Baru-baru ini, sebuah perusahaan keamanan menemukan dua kerentanan serius dalam kontrak koleksi digital, yang memicu perhatian luas di industri. Kedua kerentanan ini dapat menyebabkan aset pengguna terkunci dan dana tim proyek tidak dapat ditarik.
Kerentanan pertama ada pada fungsi pengembalian dana. Fungsi ini melakukan pengembalian dana untuk semua pengguna melalui loop, tetapi jika terdapat kontrak jahat di antara mereka, hal ini dapat menyebabkan seluruh proses pengembalian dana terputus, yang mempengaruhi keamanan dana semua pengguna. Untungnya, kerentanan ini tidak dieksploitasi oleh peretas.
Terkait hal ini, para ahli di industri menyarankan agar tim proyek mengambil langkah-langkah keamanan berikut saat merancang mekanisme pengembalian dana:
Kelemahan kedua disebabkan oleh kesalahan logika kode. Dalam fungsi penarikan dana oleh tim proyek, terdapat kesalahan dalam kondisi pemeriksaan, yang menyebabkan syarat penarikan tidak pernah dapat dipenuhi. Kesalahan ini secara langsung mengakibatkan lebih dari 34 juta dolar AS dana terkunci secara permanen dalam kontrak, tidak dapat diambil.
Kejadian ini sekali lagi menyoroti pentingnya audit keamanan dalam proses pengembangan proyek. Meskipun di bidang DeFi, audit keamanan telah menjadi praktik standar, namun dalam proyek koleksi digital, tahap ini sering kali diabaikan. Kerugian besar yang ditimbulkan oleh kejadian ini jelas memberikan peringatan bagi industri.
Para ahli menyerukan agar proyek koleksi digital harus menulis cukup kasus uji selama proses pengembangan, membina kesadaran keamanan dasar, dan memperkenalkan mekanisme audit keamanan profesional untuk mencegah terjadinya risiko serupa. Ini tidak hanya berkaitan dengan reputasi dan perkembangan proyek itu sendiri, tetapi juga secara langsung mempengaruhi keamanan aset pengguna.