Kritik pedas terhadap ShibaSwap besutan Shiba Inu (SHIB) masih berlanjut. Analis menilai celah keamanan di smart contract di fitur staking di DEX itu memungkinkan developer menarik dana pengguna.
“Kemarin saya menemukan celah di ShibaSwap yang memungkinkan dana pengguna dialihkan ke satu akun wallet Ethereum. Pihak pengembang kemudian mengalihkan ke Gnosis untuk fungsi multisig dengan address yang baru. Masalahnya adalah private key dan proses multisig dikendalikan oleh satu entitas,” kata Chris Blec dari DefiWatch.net di Twitter, Jumat (8/7/2021).
⚠️ Yesterday, it was noticed that all funds in ShibaSwap could be drained by 1 Ethereum account.
ShibaSwap then switched ownership to a new Gnosis multisig with unknown signers & fresh addresses.
The problem: it's possible to create a multisig and own all the keys yourself. pic.twitter.com/wSN1yOB2Qn
— Chris Blec (@ChrisBlec) July 7, 2021
Menurutnya [tertera di video], pembuat akun wallet punya kendali penuh terhadap private key.
Pembuat akun itu juga bisa memberikan private key itu kepada pihak-pihak lain agar bisa dibuka di wallet Metamask, sehingga proses multisig bisa dilakukan.
“Administrator multisig [pengesahan berlapis-Red] tidak menjamin keamanan, karena menggunakan private key tunggal,” sebut Blec di video yang disematkannya dalam cuitan itu. Di video berdurasi 2 menit 19 detik itu Blec membuktikan argumennya.
Sebelumnya disebutkan, bahwa penambahan fungsi multisig di fitur staking (bury) di ShibaSwap adalah cara yang cukup baik untuk mencegah “rug pull” oleh developer.
Dan langkah itu sudah dilakukan oleh developer Shiba Inu kemarin, bahwa minimal 6 dari 9 pengesahan [signature] yang diperlukan untuk setiap transaksi token yang sudah masuk ke staking pool, terkait penerbitan token [xSHIB, xLEASH dan xBONE] yang merepresentasikan collateralized token itu.
Namun masalahnya tidak sesederhana itu, karena sangat bergantung pada mekanisme dan kendali multisig yang tertaut pada akun wallet itu sendiri.
Nah, di Gnosis itu dan dipadukan dengan Metamask, dengan satu private key sangat memungkinkan dibuat address Ethereum yang berbeda-beda, sehingga seolah-olah terjadi multisig dari akun wallet dengan private key yang berbeda-beda.
Menanti Lolos Audit Certik
Pihak Certik memang belum mengeluarkan hasil audit resmi terhadap ShibaSwap. Ketika artikel ini disusun, Certik menyebutkan di situsnya proses audit masih berlangsung.
Sebelumnya di sesi Ask Me Anything (AMA) di grup Telegram Certik, pihaknya mengatakan tidak ada celah keamanan yang mereka temukan di smart contract ShibaSwap itu. [red]
Disclaimer: Seluruh konten yang diterbitkan di Blockchainmedia.id, baik berupa artikel berita, analisis, opini, wawancara, liputan khusus, artikel berbayar (paid content), maupun artikel bersponsor (sponsored content), disediakan semata-mata untuk tujuan informasi dan edukasi publik mengenai teknologi blockchain, aset kripto, dan sektor terkait. Meskipun kami berupaya memastikan akurasi dan relevansi setiap konten, kami tidak memberikan jaminan atas kelengkapan, ketepatan waktu, atau keandalan data dan pendapat yang dimuat. Konten bersifat informatif dan tidak dapat dianggap sebagai nasihat investasi, rekomendasi perdagangan, atau saran hukum dalam bentuk apa pun. Setiap keputusan finansial yang diambil berdasarkan informasi dari situs ini sepenuhnya merupakan tanggung jawab pembaca. Blockchainmedia.id tidak bertanggung jawab atas kerugian langsung maupun tidak langsung, kehilangan data, atau kerusakan lain yang timbul akibat penggunaan informasi di situs ini. Pembaca sangat disarankan untuk melakukan verifikasi mandiri, riset tambahan, dan berkonsultasi dengan penasihat keuangan profesional sebelum mengambil keputusan yang melibatkan risiko keuangan.