OpenZeppelin Menemukan Penyebab Kerentanan Smart Contract Terbaru

Kerentanan serius dalam smart contract baru-baru ini telah menimbulkan kekhawatiran di ekosistem DeFi, namun OpenZeppelin berhasil mengidentifikasi akar masalahnya. Penemuan ini menjadi sorotan utama bagi pengembang dan pengguna di industri crypto, mengingat dampaknya yang luas terhadap keamanan aset digital.

Kerentanan Akibat Integrasi ERC-2771

OpenZeppelin, platform pengembangan smart contract, telah menemukan bahwa integrasi antara standar ERC-2771 dan Multicall menjadi penyebab kerentanan yang memungkinkan penyerang untuk menyamar sebagai alamat pengirim.

Hal ini terjadi setelah Thirdweb melaporkan adanya celah keamanan pada 4 Desember 2023, yang mempengaruhi berbagai smart contract yang umum digunakan di ekosistem Web3.

Kerentanan ini berdampak pada smart contract yang telah dibangun sebelumnya, termasuk DropERC20, ERC-721, ERC-1155, dan AirdropERC20. Sementara itu, OpenZeppelin telah mengidentifikasi 13 set smart contract yang rentan dan menyarankan penyedia layanan crypto untuk segera mengatasi masalah ini sebelum dimanfaatkan oleh pihak yang tidak bertanggung jawab.

Langkah Pencegahan dan Mitigasi

Seorang penyerang berpotensi membungkus beberapa panggilan palsu dalam satu multicall (byte[]). Sumber: OpenZeppelin

Sebagai respons terhadap kerentanan ini, OpenZeppelin menyarankan komunitas Web3 yang menggunakan integrasi tersebut untuk mengikuti metode 4 langkah guna memastikan keamanan: menonaktifkan setiap forwarder terpercaya, menghentikan kontrak dan mencabut persetujuan, menyiapkan pembaruan, dan mengevaluasi opsi snapshot.

Selain itu, Thirdweb juga meluncurkan alat mitigasi yang memungkinkan pengguna untuk menghubungkan dompet mereka dan mengidentifikasi apakah kontrak mereka rentan. OpenZeppelin telah memperbarui perpustakaan kontraknya sebagai solusi atas kerentanan ini.

Meskipun integrasi antara pola-pola tersebut tetap bermasalah tanpa tindakan pencegahan yang tepat, pembaruan yang dilakukan pada perpustakaan Kontrak OpenZeppelin memungkinkan integrasinya dengan cara yang aman dan kompatibel ke belakang.

Potensi AI dalam Audit Smart Contract

Dalam sebuah artikel majalah Cointelegraph baru-baru ini, para ahli mengungkapkan bagaimana kecerdasan buatan (AI) dapat membantu dalam audit smart contract dan upaya keamanan siber.

James Edwards, pemelihara utama untuk penyelidik keamanan siber Librehash, menyatakan bahwa meskipun AI dapat mengembangkan smart contract, menerapkannya dalam lingkungan langsung tetap berisiko. Namun, Edwards menekankan potensi teknologi ini untuk memeriksa smart contract.

Tes terbaru menunjukkan kemampuan AI untuk “mengaudit kontrak dengan tingkat akurasi yang belum pernah ada sebelumnya yang jauh melampaui apa yang bisa diharapkan dan akan diterima dari GPT-4.”

Meskipun belum sebaik auditor manusia, AI sudah dapat melakukan pemeriksaan awal yang kuat untuk mempercepat pekerjaan auditor dan membuatnya lebih komprehensif.

Pada akhirnya, penemuan kerentanan ini dan langkah-langkah mitigasi yang diambil oleh OpenZeppelin menunjukkan pentingnya keamanan dalam ekosistem crypto. Dengan berkembangnya teknologi AI, masa depan audit smart contract mungkin akan lebih canggih, namun kehati-hatian dan tindakan pencegahan tetap menjadi kunci utama dalam melindungi aset digital.

Ikuti kami di Google News untuk mendapatkan berita-berita terbaru seputar crypto. Nyalakan notifikasi agar tidak ketinggalan beritanya.

*Disclaimer

Konten ini bertujuan memperkaya informasi pembaca. Selalu lakukan riset mandiri dan gunakan uang dingin sebelum berinvestasi. Segala aktivitas jual beli dan investasi aset crypto menjadi tanggung jawab pembaca.

Referensi:

Cointelegraph. ERC-2771 Integration Address Spoofing Vulnerability: Open Zeppelin. Diakses pada tanggal 9 Desember 2023
Crypto Times. OpenZeppelin Finds Cause of Recent Smart Contract Vulnerability. Diakses pada tanggal 9 Desember 2023

Array