Beli Kripto
Bayar dengan
USD
USD
Beli & Jual
Hot
Mendukung Visa, MasterCard, SEPA, dll.
P2P
0 Fees
Perdagangan fleksibel, nol biaya
Gate Card
Gunakan kripto untuk pembayaran global
Market
Perdagangan
Dasar
Lanjutan
Futures
Futures
Ratusan kontrak diselesaikan dalam USDT atau BTC
TradFi
Emas
Satu platform aset tradisional global
Opsi
Hot
Perdagangkan Opsi Vanilla ala Eropa
Akun Terpadu
Memaksimalkan efisiensi modal Anda
Perdagangan Demo
Futures Kickoff
Bersiap untuk perdagangan futures Anda
Acara Futures
Gabung acara & dapatkan hadiah
Perdagangan Demo
Gunakan dana virtual untuk merasakan perdagangan bebas risiko
Earn
Peluncuran
CandyDrop
Koleksi permen untuk mendapatkan airdrop
Launchpool
Staking cepat, dapatkan token baru yang potensial
HODLer Airdrop
Pegang GT dan dapatkan airdrop besar secara gratis
Launchpad
Jadi yang pertama untuk proyek token besar berikutnya
Poin Alpha
Perdagangkan aset on-chain, raih airdrop
Poin Futures
Dapatkan poin futures dan klaim hadiah airdrop
Investasi
Komunitas
Kotak
Temukan nilai dalam kripto
Live
moments live
Analisis live pasar kripto
Chat
Mengobrol dengan trader kripto
Berita
Apa yang terjadi di kripto
Lainnya
Promosi
Lainnya
TradFi
giveaways
Pusat Hadiah
Square
Terbaru
Populer
Berita
Profil

7.4 juta dolar AS menguap dalam sekejap, seberapa berbahayakah kerentanan re-entry pada protokol Arbitrum

梭哈哥vip

FutureSwap di Arbitrum kembali diserang. Berdasarkan berita terbaru, perusahaan keamanan blockchain BlockSec Phalcon mendeteksi bahwa protokol penambangan likuiditas ini dicuri sekitar 74.000 dolar AS melalui proses dua langkah yang dirancang dengan cermat. Kali ini bukan serangan pinjaman kilat biasa atau kesalahan parameter sederhana, melainkan celah reentrancy yang klasik namun berbahaya. Lebih dari itu, ini mencerminkan tren meningkatnya masalah keamanan di ekosistem DeFi akhir-akhir ini.

Bagaimana serangan terjadi

Celah reentrancy terdengar rumit, padahal sebenarnya hanyalah permainan selisih waktu. Penyerang memanfaatkan “celah” dalam eksekusi kontrak pintar.

Proses FutureSwap adalah sebagai berikut: pengguna menyetor aset untuk mendapatkan token LP, lalu dapat menariknya kembali. Tapi FutureSwap menetapkan masa pendinginan selama 3 hari untuk mencegah pengguna masuk dan keluar dengan cepat. Penyerang menemukan celah dari sini.

Keunggulan dari proses dua langkah

Langkah pertama: serangan reentrancy saat pencetakan

Penyerang saat menyediakan likuiditas memanfaatkan celah dalam fungsi 0x5308fcb1. Inti masalahnya adalah fungsi ini, sebelum memperbarui catatan internal kontrak, mengizinkan kode eksternal untuk masuk kembali. Penyerang melakukan reentrancy sebelum kontrak sempat mencatat jumlah aset yang dia setorkan, sehingga dia mencetak token LP jauh melebihi proporsi aset yang sebenarnya disetor.

Sederhananya, dia menyetor 100 rupiah, tapi melalui celah reentrancy, dia mendapatkan token LP yang setara dengan 1000 rupiah. Ini adalah langkah pertama dari “mengambil tanpa memberi”.

Langkah kedua: menghindari batasan saat penarikan

Tapi ini belum cukup. Masa pendinginan 3 hari di FutureSwap sebenarnya untuk mencegah hal ini. Penyerang menunggu selama 3 hari, lalu melakukan penarikan. Dia membakar token LP ilegal yang dicetak, dan menukar kembali ke aset nyata. Hasilnya, dia menukar token LP palsu dengan aset asli.

Ini menyelesaikan seluruh pencurian: dari tidak ada menjadi ada, dari palsu menjadi nyata.

Mengapa ini sangat berbahaya

Kerugian dari serangan ini meskipun hanya sekitar 74.000 dolar AS, tetapi masalah yang mendasarinya jauh lebih besar:

  1. Celah reentrancy adalah “mimpi buruk klasik” di DeFi. Pada serangan TheDAO tahun 2016, celah ini menyebabkan kerugian jutaan dolar. Setelah sepuluh tahun, celah ini tetap menjadi ancaman bagi protokol.

  2. Masa pendinginan bukanlah segalanya. FutureSwap mengira masa pendinginan 3 hari bisa mencegah arbitrase cepat, tetapi tidak mampu mencegah serangan reentrancy. Karena penyerang tidak masuk dan keluar dengan cepat selama masa pendinginan, melainkan sudah mendapatkan token LP berlebih saat pencetakan.

  3. Ini mencerminkan tren masalah keamanan terbaru di DeFi. Pada hari sebelumnya (13 Januari), YO Protocol di Ethereum mengalami kejadian pertukaran token yang tidak normal, dengan 3,84 juta dolar stkGHO hanya ditukar 12.200 dolar USDC. Meski itu karena kesalahan parameter, bukan celah, tetap menunjukkan risiko protokol DeFi tetap tinggi.

Pelajaran untuk ekosistem Arbitrum

FutureSwap “kembali” diserang, menunjukkan bahwa sebelumnya sudah ada masalah keamanan. Terungkapnya celah reentrancy ini menjadi pengingat bagi seluruh ekosistem Arbitrum:

  • Protokol penambangan likuiditas perlu audit keamanan yang lebih ketat
  • Perlindungan reentrancy tidak cukup hanya dengan masa pendinginan sederhana
  • Kontrak pintar harus mengikuti urutan “cek-efektif-berinteraksi”, memastikan status internal sudah diperbarui sebelum berinteraksi dengan kontrak eksternal

Kesimpulan

Serangan terhadap FutureSwap ini, meskipun kerugiannya relatif kecil, mengungkap celah reentrancy yang merupakan risiko sistemik di ekosistem DeFi. Penyerang melalui proses dua langkah yang cermat, pertama dengan celah reentrancy mencetak token LP berlebih, lalu melalui penarikan setelah masa pendinginan menukar aset palsu menjadi nyata. Ini mengingatkan bahwa masalah keamanan di DeFi masih jauh dari selesai, dari kesalahan parameter hingga celah teknis, risiko ada di mana-mana. Bagi pengguna, memilih protokol yang sudah diaudit secara menyeluruh tetap menjadi langkah perlindungan dasar.

ARB-3,8%
USDC0,01%
ETH-4,84%
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
  • Hadiah
  • Komentar
  • Posting ulang
  • Bagikan
Komentar
0/400
Tidak ada komentar

  • Sematkan

peta situs