Proyek koleksi digital memiliki celah besar dalam kontraknya, dana sebesar 34 juta dolar AS terkunci permanen.

Baru-baru ini, sebuah proyek koleksi digital yang banyak diperhatikan ditemukan memiliki dua celah serius dalam kontraknya. Tim keamanan saat meninjau kontrak tersebut menemukan bahwa celah-celah ini dapat menyebabkan aset pengguna terkunci, serta tim proyek tidak dapat menarik dana lebih dari 34 juta dolar.

Kerentanan pertama terkait dengan fungsi pengembalian dana. Prosedur pengembalian dana dalam kontrak menggunakan metode loop untuk mengembalikan dana kepada semua pengguna. Namun, jika alamat pengguna tertentu adalah kontrak jahat, mereka mungkin menolak untuk menerima pengembalian dana dan menyebabkan transaksi gagal, yang pada gilirannya akan memengaruhi operasi pengembalian dana semua pengguna. Untungnya, kerentanan ini belum pernah dieksploitasi.

Untuk menghindari masalah serupa, disarankan agar tim proyek mempertimbangkan hal-hal berikut saat merancang mekanisme pengembalian dana:

1. Pembatasan hanya akun pengguna biasa yang dapat berpartisipasi dalam proyek
2. Menggunakan token ERC20 seperti WETH sebagai pengganti aset asli
3. Desain memungkinkan pengguna untuk secara mandiri mengajukan permohonan pengembalian dana, bukan pemrosesan massal.

Kelemahan kedua disebabkan oleh kesalahan logika dalam kode. Dalam fungsi penarikan dana proyek, terdapat sebuah pernyataan kondisi yang seharusnya membandingkan dua variabel tertentu, tetapi salah menggunakan variabel lain untuk perbandingan. Ini menyebabkan kondisi tidak pernah terpenuhi, sehingga tim proyek tidak dapat menarik dana yang ada dalam kontrak. Saat ini, sekitar 34 juta dolar aset terkunci secara permanen dalam kontrak.

Peristiwa ini sekali lagi menyoroti bahwa bahkan proyek terkenal sekalipun dapat mengalami kesalahan dasar. Tim proyek harus menulis cukup kasus pengujian selama proses pengembangan proyek dan membangun kesadaran keamanan dasar. Meskipun dalam bidang keuangan terdesentralisasi, audit keamanan telah menjadi praktik umum, dalam proyek koleksi digital, tahap ini sering kali diabaikan, yang akhirnya menyebabkan kerugian besar.

Peristiwa ini mengingatkan kita bahwa dalam pengembangan proyek blockchain, terlepas dari skala proyek, penting untuk memperhatikan pekerjaan audit keamanan untuk mencegah kerentanan yang dapat menyebabkan konsekuensi serius. Pada saat yang sama, ini juga menyoroti pentingnya detail dalam pengembangan kontrak pintar; kesalahan kode kecil dapat menyebabkan kerugian hingga jutaan dolar.