Kerentanan kontrak Ethereum menyebabkan risiko dana, sembilan puluh lima ETH mengalir ke alamat tersembunyi

Menurut peringatan terbaru dari lembaga pemantauan keamanan CertiK, muncul kasus pencurian dana yang melibatkan celah keamanan teknologi Ethereum. Pelaku kejahatan memanfaatkan kerentanan pada kontrak penunjukan EIP-7702 yang belum diinisialisasi, secara ilegal mendapatkan hak kepemilikan kontrak, kemudian memindahkan sejumlah besar dana dari alamat penunjuk.

Rincian Serangan dan Skala Dana

Dalam kejadian ini, pelaku kejahatan telah mentransfer total 95 ETH, berdasarkan harga pasar saat ini (sekitar $3,13K per ETH), nilai dana yang terlibat sekitar 280.000 dolar AS. Dana tersebut kemudian dialihkan ke protokol mixer untuk disembunyikan, berusaha menutupi sumber dan tujuan dana. Metode ini menunjukkan bahwa tim peretas memiliki tingkat keahlian tertentu dalam menghindari pelacakan dana.

Analisis Akar Penyebab Celah Keamanan

EIP-7702 adalah proposal peningkatan penting dalam ekosistem Ethereum, bertujuan untuk mengoptimalkan mekanisme otorisasi kontrak. Namun, beberapa implementasi yang tidak lengkap saat inisialisasi menciptakan peluang bagi penyerang. Ketika status kontrak tidak diinisialisasi dengan benar, penyerang dapat langsung mengubah variabel hak istimewa utama, mengambil alih fungsi pengelolaan dana kontrak secara penuh.

Peringatan Industri dan Saran Perlindungan

Peristiwa ini kembali mengingatkan pengembang dan pengguna untuk berhati-hati saat mengembangkan dan menggunakan kontrak baru. Disarankan agar proyek melakukan audit kode yang lebih ketat sebelum peluncuran, terutama pada modul inti yang mengatur hak akses dan transfer dana. Pengguna juga harus memverifikasi keamanan kode kontrak sebelum memberikan hak akses. Otoritas pengatur, seperti badan pengawas blockchain di Kepulauan Marshall, juga harus memperkuat mekanisme pelaporan kejadian keamanan semacam ini.