Pakar teknologi blockchain, Joseph Schiarizzi, meminta masyarakat agar tidak menggunakan decentralized exchange ShibaSwap besutan Shiba Inu itu dulu. Masih banyak kelemahan telak di smart contract-nya. Schiarizzi juga memberikan saran perbaikan agar lebih baik.
Pendapat Schiarizzi menegaskan temuan dari analis lain sebelumnya, yakni Chris Blec dari DefiWatch.net.
“Administrator multisig [pengesahan berlapis-Red] tidak menjamin keamanan, karena menggunakan private key tunggal,” sebut Blec di Twitter, Jumat (8/7/2021).
Temuan Schiarizzi
Schiarizzi lewat artikelnya dua hari lalu menegaskan, bahwa kelemahan pada smart contract fitur staking di ShibaSwap memungkinkan developer Shiba Inu menguras kripto para pengguna.
“… developer dapat dengan mudah mengalihkan semua token di fitur staking di ShibaSwap dan menguras dana pengguna,” tegas Schiarizzi.
Staking pada prinsipnya seperti deposito. Pengguna menyetorkan token SHIB, LEASH atau BONE untuk meningkatkan likuiditas bursa. Sebagai imbalan, pengguna akan mendapatkan tambahan token dalam kurun waktu tertentu.
Dengan kata lain, token yang disetor pada dasarnya adalah collateral alias jaminan.
Likuiditas ini sangat penting, karena DEX tidak mengandalkan sistem order book dan market maker yang lazim digunakan di bursa centralized.
Masalahnya, sistem order book tidak cocok diterapkan di DEX. Ia disebut juga dengan sistem automated market maker (AMM), agar memudahkan proses swap (menukar) antara kripto, khususnya soal harga. Sejumlah DEX popular efektif menerapkan itu seperti UNISWAP.
Ini yang memungkinkan meningkatkan harga kripto UNI berkat luasnya use case. Penggunaan ini adalah bagian dari fundamental nilai dan harga kripto.
Imbalan staking memang punya daya tarik sendiri, karena terkadang jauh lebih besar daripada jasa produk deposito di bank, terlebih-lebih ketika harga kripto meningkat.
Ini Celahnya
Terkait celah keamanan di ShibaSwap itu, Schiarizzi mengacu pada staking smart contract address ini:0x94235659cf8b805b2c658f9ea2d6d6ddbb17c8d7.
“Staking contract itu terkait dengan address ini: 0x4267a3ad7d20c2396ebb0fe72119984f7073761c Untuk sebagian besar saat ini, contract dimiliki oleh satu orang, tetapi ini telah diperbarui ke address 0x4267 baru ini. Address pemilik ini sebenarnya adalah smart contract lain yang sangat mudah dikenali, yakni Gnosis Safe. Di situ tertera mekanisme pengesahan ganda [multisig-Red] minimal 6 dari 9 9 anggota, untuk menyetujui transaksi sebelum dapat memanggil kode arbitrer apa pun,” sebut Schiarizzi.
Masalahnya, Schiarizzi menambahkan, salah satu fungsi dalam smart contract itu adalah “Migrate”. Fungsi itu memungkinkan developer memindahkan semua token yang di-staking
Saran Perbaikan Segera
Schiarizzi tak hanya menyoroti kelemahan itu secara jelas. Ia juga menyarankan sejumlah perbaikan segera di ShibaSwap agar dana pengguna lebih aman.
Pertama, Tambahkan fungsi timelock, sehingga ada penundaan transaksi yang lebih lama, misalnya lebih dari 7 hari, antara sejumlah eksekusi fungsi di sisi pengelola pool yang melakukan multisig.
“Ini akan memberi tambahan waktu untuk setiap pengguna, menarik dananya dari pool untuk sementara waktu. Ini perbaikan minimal yang harus segera ada,” kata Schiarizzi.
Kedua, alihkan kendali multisig kepada pengguna juga, bukan hanya oleh developer Shiba Inu. Cara ini akan menjamin popularitas ShibaSwap.
Ketiga, eksekusi fungsi “Migrate” jangan hanya oleh administrator di sisi developer saja, agar dana tidak bisa mudah dialihkan ke addres berbeda.
“Lakukan perubahan itu secara cepat, agar saya mencabut pernyataan saya, bahwa ShibaSwap ini adalah penipuan,” tegasnya.
Belum Lolos Audit Certik
ShibaSwap sendiri belum lolos audit smart contract dari Certik, walaupun perusahaan itu sebelumnya menyatakan smart contract aman.
TVL 1,43 Milyar Dolar
Nilai dana di ShibaSwap juga terpantau sangat besar, untuk sekelas pendatang baru seperti ini.
Per 9 Juli 2021 petang, Total Value Locked (TVL)-nya mencapai US$1,43 milyar. Angka itu mewakili sejumlah kripto yang berlalu-lalang di swap, termasuk yang di-staking.
Jikalau ShibaSwap sukses, berkat perbaikan smart contract-nya ke depan, ia bisa jadi bersaing kuat dengan DEX lainnya, seperti UniSwap. [red]