Valentin Mihov, pakar blockchain mengatakan ada “celah keamanan” di smart contract di ShibaSwap besutan Shiba Inu (SHIB), di fitur staking. Developer ShibaInu sedang memperbaikinya.
Meluncurnya decentralized exchange (DEX) ShibaSwap kemarin justru menimbulkan tanda tanya. Pasalnya, DEX itu belum lolos audit oleh Certik.
Belum Lolos Audit Certik, ShibaSwap Besutan Shiba Inu (SHIB) Sudah Meluncur
Walaupun di sesi AMA beberapa hari lalu pihak Certik memastikan smart contract di ShibaSwap aman, tetapi Certik sampai detik ini belum mengeluarkan dokumen resmi lolos audit.
Di situs Certik sendiri status audit terhadap smart contract produk terkait Shiba Inu masih dalam proses.
Ada Celah di ShibaSwap
Tantangan menarik pun datang dari Valentin Mihov, pakar blockchain yang pernah berlabuh di Santiment, perusahaan pengkajian blockchain.
Di Twitter dia menunjukkan ada celah keamanan yang ditemukan di smart contract ShibaSwap, khususnya di bagian Staking. ShibaSwap menyebut fitur itu sebagai “Bury”.
Di fitur itu, pengguna bisa mendapatkan token tambahan (dalam persen) atas token SHIB, BONE, dan LEASH yang ditempatkan di satu pool.
Lazimnya fitur staking di ranah DeFi seperti ini, pengguna pada prinsipnya mendapatkan pendapatan pasif, selayaknya “deposito” di bank.
Hanya saja, ini punya aspek jaminan alias collateral, yakni ketiga token tersebut dan pengguna bisa mendapatkan tambahan jumlah token dalam periode waktu tertentu.
“…Saya menyarankan Anda untuk berhati-hati. Staking contract [kode pada smart contract fitur staking–Red] memungkinkan dana [token-Red] dipindahkan ke akun wallet berbeda dan saat ini dikendalikan oleh satu EOA. Dana yang di-stake bisa kapan saja ditarik oleh developer,” kata Mihov, Selasa (6/7/2021).
Tapi, Mihov memastikan masih ada perbaikan yang sedang berlangsung terhadap smart contract itu, tetapi belum benar 100 persen.
You think about aping into #ShibaSwap for 5000% APR? I will advice you to be cautious. The staking contract allows to migrate the deposited funds and it's currently owned by an EOA. TLDR: All the staked funds can be rugged by the devs at any moment #WarOnRugs 🚨 pic.twitter.com/1cBcJWaylV
— Valentin Mihov 🦇🔊 (@valentinmihov) July 6, 2021
Berdasarkan dokumen yang diterbitkan oleh Ethereum, EOA (Externally Owned Account) adalah salah satu jenis akun wallet di khasanah blockchain Ethereum, selain Contracts Accounts (CA).
Pertama, EOA pada prinsipnya bisa memuat saldo ETH atau token lain under Ethereum.
Kedua, dapat memuat transaksi, baik transfer terhadap dana di wallet itu ataupun untuk memicu transaksi tertentu di smart contract.
Ketiga, dikendalikan penuh dengan private key.
Keempat, EOA tidak memiliki kode khusus yang tertaut dengan dirinya sendiri.
Temuan celah itu juga ditegaskan oleh pengguna Twitter lain, Banteq.
“…Dana bisa dicuri dan teralihkan ke satu address tunggal…” sebutnya.
ShibaSwap devs reached out and transferred the owner role to a 6/9 multisig. They also informed they plan to deploy a timelock. The above concern has been addressed.https://t.co/SKju3CjeOr
— banteg (@bantg) July 6, 2021
Namun, Banteq memastikan, pihak developer ShibaSwap telah menghubunginya, bahwa kode di smart contract itu sedang diperbaiki dengan menambahkan kode khusus untuk fungsi “multisig 6/9” dan “timelock“.
Fungsi “multisig 6/9” adalah multisignature alias pengesahan ganda untuk semua transaksi, minimal 6 dari 9 pengesahan.
Sedangkan “timelock” adalah kendali transaksi berdasarkan periode waktu yang sudah ditentukan sebelumnya di dalam kode. Ini biasanya bermanfaat untuk menekan risiko penyerangan, karena setiap transaksi punya batas waktu khusus.
TVL US$1 Milyar
Sementara itu nilai kripto yang ter-lock (TVL/total value locked) di ShibaSwap sudah mencapai US$1 milyar. Nilai itu adalah total dari nilai tukar kripto SHIB dan kripto lain yang ada di DEX itu.
1 Billion dollars #TVL (Total Value Locked) in a single day!
Incredible!Come to https://t.co/P8p0pb5uoZ, and Stake (BURY), Farm (DIG), get rewards, and trade your tokens with us. #ShibaSwap #ShibArmy #Crypto $SHIB $LEASH $BONE pic.twitter.com/Ldi5FmvHpH
— Shib (@Shibtoken) July 7, 2021
Hasil audit Certik memang bukanlah jaminan aman 100 persen. Tetapi setidaknya, pengguna mendapatkan “rasa aman psikologis” dalam penggunaan ShibSwap.
Pasalnya, sejumlah kasus peretasan akibat celah smart contract di DEX ataupun jenis DeFi lainnya, kerap terjadi dan merugikan banyak pengguna.[red]