Kritik pedas terhadap ShibaSwap besutan Shiba Inu (SHIB) masih berlanjut. Analis menilai celah keamanan di smart contract di fitur staking di DEX itu memungkinkan developer menarik dana pengguna.
“Kemarin saya menemukan celah di ShibaSwap yang memungkinkan dana pengguna dialihkan ke satu akun wallet Ethereum. Pihak pengembang kemudian mengalihkan ke Gnosis untuk fungsi multisig dengan address yang baru. Masalahnya adalah private key dan proses multisig dikendalikan oleh satu entitas,” kata Chris Blec dari DefiWatch.net di Twitter, Jumat (8/7/2021).
⚠️ Yesterday, it was noticed that all funds in ShibaSwap could be drained by 1 Ethereum account.
ShibaSwap then switched ownership to a new Gnosis multisig with unknown signers & fresh addresses.
The problem: it's possible to create a multisig and own all the keys yourself. pic.twitter.com/wSN1yOB2Qn
— Chris Blec (@ChrisBlec) July 7, 2021
Menurutnya [tertera di video], pembuat akun wallet punya kendali penuh terhadap private key.
Pembuat akun itu juga bisa memberikan private key itu kepada pihak-pihak lain agar bisa dibuka di wallet Metamask, sehingga proses multisig bisa dilakukan.
“Administrator multisig [pengesahan berlapis-Red] tidak menjamin keamanan, karena menggunakan private key tunggal,” sebut Blec di video yang disematkannya dalam cuitan itu. Di video berdurasi 2 menit 19 detik itu Blec membuktikan argumennya.
Sebelumnya disebutkan, bahwa penambahan fungsi multisig di fitur staking (bury) di ShibaSwap adalah cara yang cukup baik untuk mencegah “rug pull” oleh developer.
Dan langkah itu sudah dilakukan oleh developer Shiba Inu kemarin, bahwa minimal 6 dari 9 pengesahan [signature] yang diperlukan untuk setiap transaksi token yang sudah masuk ke staking pool, terkait penerbitan token [xSHIB, xLEASH dan xBONE] yang merepresentasikan collateralized token itu.
Namun masalahnya tidak sesederhana itu, karena sangat bergantung pada mekanisme dan kendali multisig yang tertaut pada akun wallet itu sendiri.
Nah, di Gnosis itu dan dipadukan dengan Metamask, dengan satu private key sangat memungkinkan dibuat address Ethereum yang berbeda-beda, sehingga seolah-olah terjadi multisig dari akun wallet dengan private key yang berbeda-beda.
Menanti Lolos Audit Certik
Pihak Certik memang belum mengeluarkan hasil audit resmi terhadap ShibaSwap. Ketika artikel ini disusun, Certik menyebutkan di situsnya proses audit masih berlangsung.
Sebelumnya di sesi Ask Me Anything (AMA) di grup Telegram Certik, pihaknya mengatakan tidak ada celah keamanan yang mereka temukan di smart contract ShibaSwap itu. [red]