Monday

18-08-2025 Vol 19

🧨 Solidity Security 101: Mistakes I’ll Never Make Again

Tech News May 21, 2025

🧨 Solidity Security 101: Kesalahan yang Tak Akan Saya Ulangi Lagi

Solidity, bahasa pemrograman yang menjadi tulang punggung banyak smart contract di blockchain Ethereum, menawarkan kekuatan yang luar biasa. Namun, kekuatan ini datang dengan tanggung jawab besar. Keamanan smart contract sangat penting karena sekali di-deploy, perubahan seringkali sangat sulit atau bahkan tidak mungkin dilakukan. Kesalahan coding kecil bisa mengakibatkan kerugian finansial yang sangat besar. Sebagai seorang developer Solidity yang sudah merasakan pahitnya belajar dari kesalahan, saya ingin berbagi pelajaran yang saya dapatkan dengan harapan bisa membantu Anda menghindari jebakan yang sama.

Artikel ini, “Solidity Security 101: Kesalahan yang Tak Akan Saya Ulangi Lagi”, adalah panduan komprehensif yang membahas kesalahan keamanan umum dalam pengembangan Solidity, dan, yang lebih penting, cara menghindarinya. Kita akan membahas dari integer overflow hingga serangan reentrancy, dengan contoh kode praktis dan solusi yang dapat diterapkan.

Daftar Isi

  1. Pendahuluan: Mengapa Keamanan Solidity Sangat Penting?
  2. Integer Overflow dan Underflow: Matematika yang Membahayakan
    • Apa itu Integer Overflow dan Underflow?
    • Contoh Kode yang Rentan
    • Solusi: Gunakan SafeMath Library
  3. Reentrancy Attack: Jebakan Transfer Ether
    • Apa itu Reentrancy Attack?
    • Contoh Kode yang Rentan
    • Pola Checks-Effects-Interactions
    • Menggunakan `transfer()` vs. `send()` vs. `call()`
  4. Front Running: Memanfaatkan Informasi yang Belum Dikonfirmasi
    • Apa itu Front Running?
    • Contoh Kode yang Rentan
    • Solusi: Commit-Reveal Scheme, Off-Chain Execution
  5. Denial of Service (DoS): Menghentikan Kontrak Secara Paksa
    • Apa itu Denial of Service?
    • Contoh Kode yang Rentan (Gas Limit, Loop Tak Terbatas)
    • Solusi: Batasi Gas, Hindari Loop Tak Terbatas, Pull over Push Pattern
  6. Overflowing the Stack: Membebani Mesin Virtual Ethereum
    • Apa itu Stack Overflow?
    • Contoh Kode yang Rentan (Struktur Data Kompleks)
    • Solusi: Hindari Rekursi Dalam, Optimalkan Struktur Data
  7. Timestamp Dependence: Jangan Percaya Waktu Block
    • Mengapa Timestamp Block Tidak Aman?
    • Contoh Kode yang Rentan (Undian, Lock-up Period)
    • Solusi: Gunakan Block Number, Oracle
  8. Visibility: Memastikan Data Tetap Pribadi (Jika Diinginkan)
    • Public, Private, Internal, External: Perbedaan dan Implikasinya
    • Contoh Kode yang Rentan (Data Sensitif Terekspos)
    • Solusi: Gunakan Visibility Modifier yang Tepat
  9. Delegatecall: Hati-Hati dengan Kontrak Eksternal
    • Apa itu Delegatecall?
    • Contoh Kode yang Rentan (Perubahan State yang Tak Terduga)
    • Solusi: Gunakan Delegatecall dengan Hati-Hati, Validasi Kontrak Eksternal
  10. Uninitialized Storage Pointers: Titik Buta dalam Memori
    • Apa itu Uninitialized Storage Pointers?
    • Contoh Kode yang Rentan
    • Solusi: Inisialisasi Semua Variabel Storage
  11. Kesalahan Umum Lainnya dan Tips Keamanan
    • Hardcoding Alamat
    • Tidak Menggunakan Events untuk Logging
    • Gunakan Static Analysis Tools
    • Auditing Kontrak Anda
  12. Kesimpulan: Keamanan Solidity adalah Perjalanan, Bukan Tujuan

1. Pendahuluan: Mengapa Keamanan Solidity Sangat Penting?

Blockchain dan smart contract menawarkan transparansi dan keabadian. Namun, sifat inilah yang membuat keamanan menjadi sangat krusial. Bayangkan sebuah bug dalam kode smart contract yang mengelola jutaan dolar. Begitu di-deploy, bug tersebut akan selamanya ada di blockchain, menunggu untuk dieksploitasi. Keamanan Solidity bukan hanya tentang menghindari kerugian finansial, tetapi juga tentang menjaga kepercayaan pada teknologi blockchain secara keseluruhan.

Kerentanan keamanan dalam smart contract dapat menyebabkan:

  • Kerugian Finansial: Pencurian dana, manipulasi harga, atau kegagalan fungsi kontrak.
  • Kerusakan Reputasi: Hilangnya kepercayaan dari pengguna dan investor.
  • Masalah Hukum: Potensi tuntutan hukum dan sanksi regulasi.

Oleh karena itu, memahami dan mengatasi potensi kerentanan keamanan adalah hal yang mutlak bagi setiap developer Solidity.

2. Integer Overflow dan Underflow: Matematika yang Membahayakan

Apa itu Integer Overflow dan Underflow?

Integer memiliki batasan ukuran. Integer overflow terjadi ketika hasil operasi aritmatika melebihi nilai maksimum yang dapat ditampung oleh tipe data integer tersebut. Sebaliknya, integer underflow terjadi ketika hasil operasi aritmatika kurang dari nilai minimum. Contohnya, jika tipe data integer memiliki rentang 0 hingga 255, maka 255 + 1 akan menghasilkan 0 (overflow) dan 0 – 1 akan menghasilkan 255 (underflow).

Dahulu, Solidity memiliki kerentanan ini secara default. Meskipun Solidity versi 0.8.0 ke atas secara otomatis menangani overflow dan underflow dengan me-revert transaksi, penting untuk memahami mekanisme ini dan bagaimana menanganinya di versi Solidity yang lebih lama atau dalam situasi khusus.

Contoh Kode yang Rentan

“`solidity
pragma solidity ^0.6.0;

contract OverflowExample {
uint8 public balance = 250;

function add(uint8 _amount) public {
balance = balance + _amount; // Berpotensi overflow
}

function subtract(uint8 _amount) public {
balance = balance – _amount; // Berpotensi underflow
}
}
“`

Dalam contoh ini, jika kita memanggil `add(10)` ketika `balance` sudah bernilai 250, `balance` akan menjadi 4 (260 % 256). Jika kita memanggil `subtract(10)` ketika `balance` bernilai 0, `balance` akan menjadi 246.

Solusi: Gunakan SafeMath Library

Cara terbaik untuk mencegah integer overflow dan underflow adalah dengan menggunakan library SafeMath. Library ini menyediakan fungsi-fungsi matematika yang secara otomatis melakukan pengecekan overflow dan underflow sebelum melakukan operasi. Jika terjadi overflow atau underflow, fungsi-fungsi ini akan me-revert transaksi.

“`solidity
pragma solidity ^0.6.0;

library SafeMath {
function add(uint a, uint b) internal pure returns (uint) {
uint c = a + b;
require(c >= a, “SafeMath: addition overflow”);
return c;
}

function sub(uint a, uint b) internal pure returns (uint) {
require(b <= a, "SafeMath: subtraction overflow"); return a - b; } } contract SafeMathExample { using SafeMath for uint; uint public balance = 250; function add(uint _amount) public { balance = balance.add(_amount); // Aman dari overflow } function subtract(uint _amount) public { balance = balance.sub(_amount); // Aman dari underflow } } ```

Dengan menggunakan SafeMath, kita memastikan bahwa operasi aritmatika tidak akan menyebabkan overflow atau underflow yang tidak terduga. Solidity versi 0.8.0 ke atas secara default sudah aman dari overflow/underflow, tetapi tetap penting untuk memahami konsep ini.

3. Reentrancy Attack: Jebakan Transfer Ether

Apa itu Reentrancy Attack?

Reentrancy attack adalah kerentanan keamanan yang memungkinkan penyerang untuk memanggil kembali fungsi yang sama dalam kontrak sebelum panggilan sebelumnya selesai. Hal ini dapat menyebabkan kontrak mengubah state-nya secara tidak terduga, memungkinkan penyerang untuk mencuri dana atau melakukan tindakan yang tidak sah.

Serangan ini biasanya terjadi ketika sebuah kontrak mengirim Ether ke kontrak lain. Kontrak penerima dapat memiliki fungsi fallback yang dieksekusi secara otomatis saat menerima Ether. Fungsi fallback ini dapat memanggil kembali fungsi pengirim, menciptakan loop reentrancy.

Contoh Kode yang Rentan

“`solidity
pragma solidity ^0.6.0;

contract VulnerableContract {
mapping (address => uint) public balances;

function deposit() public payable {
balances[msg.sender] += msg.value;
}

function withdraw(uint _amount) public {
require(balances[msg.sender] >= _amount);

balances[msg.sender] -= _amount;
msg.sender.transfer(_amount); // Berpotensi reentrancy
}
}
“`

Dalam contoh ini, fungsi `withdraw` rentan terhadap reentrancy attack. Penyerang dapat membuat kontrak yang memiliki fungsi fallback yang memanggil kembali fungsi `withdraw` sebelum saldo pengguna diperbarui. Ini akan memungkinkan penyerang untuk menarik dana berkali-kali, melebihi saldo yang sebenarnya.

Pola Checks-Effects-Interactions

Untuk mencegah reentrancy attack, kita harus mengikuti pola Checks-Effects-Interactions. Pola ini memastikan bahwa kita memperbarui state kontrak (effects) sebelum melakukan panggilan eksternal (interactions).

* Checks: Lakukan semua pengecekan yang diperlukan untuk memastikan bahwa operasi valid (misalnya, memeriksa saldo yang cukup).
* Effects: Perbarui state kontrak (misalnya, mengurangi saldo pengguna).
* Interactions: Lakukan panggilan eksternal (misalnya, mengirim Ether ke pengguna).

Menggunakan `transfer()` vs. `send()` vs. `call()`

* `transfer()`: Mengirim 2300 gas ke kontrak penerima. Akan me-revert jika pengiriman gagal. Melindungi dari reentrancy sederhana karena gas yang terbatas seringkali tidak cukup untuk melakukan panggilan balik yang signifikan.
* `send()`: Mirip dengan `transfer()`, tetapi mengembalikan boolean yang menunjukkan apakah pengiriman berhasil atau tidak.
* `call()`: Memberikan kontrol penuh atas alokasi gas. Paling fleksibel, tetapi juga paling berbahaya. Harus digunakan dengan sangat hati-hati dan hanya jika diperlukan.

Solusi: Menerapkan Checks-Effects-Interactions dan Reentrancy Guard

“`solidity
pragma solidity ^0.6.0;

import “@openzeppelin/contracts/utils/ReentrancyGuard.sol”;

contract SecureContract is ReentrancyGuard {
mapping (address => uint) public balances;

function deposit() public payable {
balances[msg.sender] += msg.value;
}

function withdraw(uint _amount) public nonReentrant {
require(balances[msg.sender] >= _amount);

balances[msg.sender] -= _amount; // Effects
msg.sender.transfer(_amount); // Interactions
}
}
“`

Dalam contoh ini, kita menggunakan library ReentrancyGuard dari OpenZeppelin. ReentrancyGuard menggunakan mutex untuk mencegah fungsi `withdraw` dipanggil kembali sebelum panggilan sebelumnya selesai. Kita juga menerapkan pola Checks-Effects-Interactions dengan memperbarui saldo pengguna sebelum mengirim Ether.

4. Front Running: Memanfaatkan Informasi yang Belum Dikonfirmasi

Apa itu Front Running?

Front running terjadi ketika seseorang melihat transaksi yang belum dikonfirmasi di mempool (tempat transaksi menunggu untuk diproses) dan mengeksekusi transaksi mereka sendiri dengan gas fee yang lebih tinggi untuk diproses sebelum transaksi yang pertama. Ini memungkinkan mereka untuk mendapatkan keuntungan dari informasi yang tersedia dalam transaksi yang belum dikonfirmasi.

Contoh Kode yang Rentan

“`solidity
pragma solidity ^0.6.0;

contract TradingContract {
mapping (address => uint) public tokenBalances;
uint public tokenPrice = 1 ether;

function buyTokens() public payable {
uint tokensToBuy = msg.value / tokenPrice;
tokenBalances[msg.sender] += tokensToBuy;
}
}
“`

Dalam contoh ini, seorang penyerang dapat melihat transaksi `buyTokens` yang belum dikonfirmasi dan mengirimkan transaksi mereka sendiri dengan gas fee yang lebih tinggi untuk membeli token sebelum transaksi yang pertama. Jika penyerang mengharapkan harga token naik, mereka dapat membeli token dengan harga yang lebih rendah sebelum orang lain melakukannya.

Solusi: Commit-Reveal Scheme, Off-Chain Execution

* Commit-Reveal Scheme: Pengguna pertama-tama “commit” (mengirim hash) dari niat mereka. Kemudian, mereka “reveal” (mengirim data sebenarnya) setelah block dikonfirmasi. Ini mencegah penyerang melihat niat pengguna sebelum transaksi dieksekusi.
* Off-Chain Execution: Melakukan beberapa logika di luar blockchain untuk mengurangi ketergantungan pada transaksi on-chain. Misalnya, menggunakan oracle untuk menentukan harga secara periodik daripada setiap kali ada transaksi.
* Menggunakan Order Matching Engines: Menggunakan sistem yang cocok dengan order secara adil, mengurangi potensi front running.

Contoh Commit-Reveal Scheme:

“`solidity
pragma solidity ^0.6.0;

contract CommitReveal {
mapping (address => bytes32) public commitments;
mapping (bytes32 => uint) public revealedValues;

function commit(bytes32 _commitment) public {
commitments[msg.sender] = _commitment;
}

function reveal(uint _value, bytes32 _salt) public {
bytes32 expectedCommitment = keccak256(abi.encodePacked(_value, _salt));
require(commitments[msg.sender] == expectedCommitment, “Invalid commitment”);

revealedValues[expectedCommitment] = _value;
}
}
“`

Pengguna pertama-tama memanggil `commit` dengan hash dari nilai dan salt mereka. Kemudian, mereka memanggil `reveal` dengan nilai dan salt sebenarnya. Kontrak memverifikasi bahwa hash yang di-reveal sesuai dengan komitmen sebelumnya.

5. Denial of Service (DoS): Menghentikan Kontrak Secara Paksa

Apa itu Denial of Service?

Denial of Service (DoS) attack adalah serangan yang bertujuan untuk membuat kontrak tidak dapat digunakan oleh pengguna yang sah. Hal ini dapat dilakukan dengan berbagai cara, seperti menghabiskan gas kontrak, membuat loop tak terbatas, atau mengeksploitasi bug dalam kode kontrak.

Contoh Kode yang Rentan (Gas Limit, Loop Tak Terbatas)

“`solidity
pragma solidity ^0.6.0;

contract VulnerableAuction {
address public beneficiary;
uint public auctionEndTime;
address public highestBidder;
uint public highestBid;
mapping(address => uint) pendingReturns;

function bid() public payable {
require(msg.value > highestBid);

if (highestBidder != address(0)) {
pendingReturns[highestBidder] += highestBid;
}

highestBidder = msg.sender;
highestBid = msg.value;
}

function withdraw() public {
uint amount = pendingReturns[msg.sender];
if (amount > 0) {
pendingReturns[msg.sender] = 0;
msg.sender.transfer(amount);

}
}
// rentan terhadap DoS
function endAuction() public {
require(block.timestamp > auctionEndTime);

for (address bidder; bidder != address(0); ) { // Potensi loop tak terbatas
if (pendingReturns[bidder] > 0) {
bidder.transfer(pendingReturns[bidder]);
}
}
beneficiary.transfer(address(this).balance);
}
}
“`

Fungsi `endAuction` rentan terhadap DoS. Jika ada banyak bidder, loop tersebut mungkin menghabiskan semua gas yang tersedia, menyebabkan transaksi gagal dan mencegah beneficiary menerima dana.

Solusi: Batasi Gas, Hindari Loop Tak Terbatas, Pull over Push Pattern

* Batasi Gas: Pastikan bahwa setiap operasi memiliki batasan gas yang wajar.
* Hindari Loop Tak Terbatas: Berhati-hatilah dengan loop yang mungkin tidak pernah berakhir.
* Pull over Push Pattern: Alih-alih mengirim dana ke pengguna (push), biarkan pengguna menarik dana mereka sendiri (pull). Ini mencegah serangan DoS yang disebabkan oleh kegagalan pengiriman dana.

Contoh Pull over Push Pattern:

“`solidity
pragma solidity ^0.6.0;

contract SecureAuction {
address public beneficiary;
uint public auctionEndTime;
address public highestBidder;
uint public highestBid;
mapping(address => uint) public pendingReturns;

function bid() public payable {
require(msg.value > highestBid);

if (highestBidder != address(0)) {
pendingReturns[highestBidder] += highestBid;
}

highestBidder = msg.sender;
highestBid = msg.value;
}

function withdraw() public {
uint amount = pendingReturns[msg.sender];
require(amount > 0, “No pending returns”);
pendingReturns[msg.sender] = 0;
(bool success, ) = msg.sender.call{value: amount}(“”);
require(success, “Transfer failed.”);
}

function endAuction() public {
require(block.timestamp > auctionEndTime);
beneficiary.transfer(address(this).balance);
}
}
“`

Dalam contoh ini, pengguna harus memanggil fungsi `withdraw` untuk menarik dana mereka. Ini mencegah serangan DoS yang disebabkan oleh loop tak terbatas dalam fungsi `endAuction` sebelumnya.

6. Overflowing the Stack: Membebani Mesin Virtual Ethereum

Apa itu Stack Overflow?

Ethereum Virtual Machine (EVM) memiliki stack dengan ukuran terbatas. Stack overflow terjadi ketika terlalu banyak data dimasukkan ke dalam stack, melebihi batas ukurannya. Hal ini dapat menyebabkan transaksi gagal.

Contoh Kode yang Rentan (Struktur Data Kompleks)

Fungsi rekursif yang dalam dan penggunaan struktur data kompleks dapat menyebabkan stack overflow.

“`solidity
pragma solidity ^0.6.0;

contract StackOverflowExample {
uint public result;

function factorial(uint n) public {
if (n == 0) {
result = 1;
} else {
factorial(n – 1); // Rekursi yang berpotensi dalam
result = result * n;
}
}
}
“`

Jika `n` terlalu besar, rekursi dalam fungsi `factorial` dapat menyebabkan stack overflow.

Solusi: Hindari Rekursi Dalam, Optimalkan Struktur Data

* Hindari Rekursi Dalam: Gunakan iterasi sebagai gantinya.
* Optimalkan Struktur Data: Gunakan struktur data yang lebih efisien dan hindari penggunaan struktur data yang kompleks jika tidak diperlukan.
* State Variables: Gunakan state variables untuk menyimpan data sementara daripada menggunakan variabel lokal yang membebani stack.

Contoh menggunakan iterasi sebagai pengganti rekursi:

“`solidity
pragma solidity ^0.6.0;

contract StackOverflowExample {
uint public result;

function factorial(uint n) public {
result = 1;
for (uint i = 1; i <= n; i++) { result = result * i; } } } ```

Dalam contoh ini, kita menggunakan iterasi untuk menghitung faktorial, menghindari risiko stack overflow.

7. Timestamp Dependence: Jangan Percaya Waktu Block

Mengapa Timestamp Block Tidak Aman?

Timestamp block disediakan oleh miner dan dapat dimanipulasi hingga batas tertentu. Jangan gunakan timestamp block sebagai sumber kebenaran yang mutlak, terutama untuk logika penting seperti undian atau lock-up period.

Contoh Kode yang Rentan (Undian, Lock-up Period)

“`solidity
pragma solidity ^0.6.0;

contract Lottery {
uint public lotteryEndTime;

constructor(uint _duration) public {
lotteryEndTime = block.timestamp + _duration;
}

function isLotteryEnded() public view returns (bool) {
return block.timestamp > lotteryEndTime; // Rentan terhadap manipulasi
}
}
“`

Miner dapat memanipulasi timestamp block untuk memenangkan undian jika logika didasarkan pada timestamp.

Solusi: Gunakan Block Number, Oracle

* Gunakan Block Number: Block number lebih sulit dimanipulasi daripada timestamp.
* Gunakan Oracle: Gunakan oracle terpercaya untuk mendapatkan data waktu yang akurat dari sumber eksternal.

Contoh menggunakan block number:

“`solidity
pragma solidity ^0.6.0;

contract Lottery {
uint public lotteryEndBlock;

constructor(uint _duration) public {
lotteryEndBlock = block.number + _duration;
}

function isLotteryEnded() public view returns (bool) {
return block.number > lotteryEndBlock; // Lebih aman daripada timestamp
}
}
“`

Dalam contoh ini, kita menggunakan block number sebagai dasar untuk menentukan kapan undian berakhir. Ini lebih aman daripada menggunakan timestamp.

8. Visibility: Memastikan Data Tetap Pribadi (Jika Diinginkan)

Public, Private, Internal, External: Perbedaan dan Implikasinya

* `public`: Dapat diakses oleh siapa saja, baik secara internal maupun eksternal. State variables public secara otomatis membuat fungsi getter.
* `private`: Hanya dapat diakses dari dalam kontrak yang mendefinisikannya. Meskipun “private,” data masih dapat dilihat di blockchain.
* `internal`: Dapat diakses dari dalam kontrak yang mendefinisikannya dan kontrak turunannya.
* `external`: Hanya dapat diakses dari luar kontrak. Lebih efisien daripada `public` ketika dipanggil dari luar.

Contoh Kode yang Rentan (Data Sensitif Terekspos)

“`solidity
pragma solidity ^0.6.0;

contract VulnerableContract {
uint public secretValue; // Data sensitif terekspos

constructor(uint _secretValue) public {
secretValue = _secretValue;
}
}
“`

Dalam contoh ini, `secretValue` dideklarasikan sebagai `public`. Meskipun maksudnya mungkin untuk menjaga kerahasiaannya, siapa pun dapat membaca nilai ini dari blockchain.

Solusi: Gunakan Visibility Modifier yang Tepat

Gunakan `private` untuk data yang seharusnya hanya diakses secara internal dan hindari menyimpan data sensitif di blockchain jika memungkinkan. Pertimbangkan penggunaan enkripsi jika kerahasiaan mutlak diperlukan.

“`solidity
pragma solidity ^0.6.0;

contract SecureContract {
uint private secretValue; // Data sensitif disembunyikan

constructor(uint _secretValue) public {
secretValue = _secretValue;
}

function getSecretValue() public returns (uint) {
// Implementasikan logika untuk mengontrol akses ke secretValue
// Misalnya, hanya mengizinkan pemilik kontrak untuk melihatnya
require(msg.sender == owner, “Unauthorized”);
return secretValue;
}
}
“`

Dalam contoh ini, `secretValue` dideklarasikan sebagai `private`, dan fungsi `getSecretValue` digunakan untuk mengontrol akses ke data tersebut.

9. Delegatecall: Hati-Hati dengan Kontrak Eksternal

Apa itu Delegatecall?

`delegatecall` memungkinkan sebuah kontrak untuk mengeksekusi kode dari kontrak lain *dalam konteks kontrak pemanggil*. Ini berarti kode yang dipanggil akan beroperasi pada storage dan `msg.sender` dari kontrak pemanggil. Ini berbeda dengan `call`, yang mengeksekusi kode dalam konteks kontrak yang dipanggil.

Contoh Kode yang Rentan (Perubahan State yang Tak Terduga)

“`solidity
pragma solidity ^0.6.0;

contract Library {
address public owner;

function setOwner(address _newOwner) public {
owner = _newOwner;
}
}

contract DelegatecallExample {
address public libraryAddress;
address public owner;

constructor(address _libraryAddress) public {
libraryAddress = _libraryAddress;
owner = msg.sender;
}

function delegateSetOwner(address _newOwner) public {
(bool success, ) = libraryAddress.delegatecall(abi.encodeWithSignature(“setOwner(address)”, _newOwner));
require(success, “Delegatecall failed”);
}
}
“`

Jika `libraryAddress` menunjuk ke kontrak `Library`, dan seorang penyerang dapat mengontrol `libraryAddress`, mereka dapat memanggil `delegateSetOwner` dengan alamat mereka sendiri. Karena `delegatecall` mengeksekusi kode `Library` dalam konteks `DelegatecallExample`, ini akan mengubah `owner` dari kontrak `DelegatecallExample` menjadi alamat penyerang.

Solusi: Gunakan Delegatecall dengan Hati-Hati, Validasi Kontrak Eksternal

* Gunakan Delegatecall dengan Hati-Hati: Hanya gunakan `delegatecall` jika benar-benar diperlukan.
* Validasi Kontrak Eksternal: Pastikan bahwa kontrak yang dipanggil dengan `delegatecall` dapat dipercaya dan tidak memiliki kerentanan keamanan.
* Gunakan Storage Slots dengan Hati-Hati: Pahami bagaimana storage slots digunakan dalam kontrak yang dipanggil untuk menghindari konflik.

10. Uninitialized Storage Pointers: Titik Buta dalam Memori

Apa itu Uninitialized Storage Pointers?

Uninitialized storage pointers adalah variabel pointer yang belum diinisialisasi dan menunjuk ke lokasi memori storage yang tidak terdefinisi. Menggunakan pointer ini dapat menyebabkan perilaku yang tidak terduga dan potensi kerentanan keamanan.

Contoh Kode yang Rentan

“`solidity
pragma solidity ^0.6.0;

contract UninitializedStorage {
struct Data {
uint value;
}

Data public data;
Data storage uninitializedData;

function setValue(uint _value) public {
uninitializedData.value = _value; // Berpotensi menimpa storage yang tidak diinginkan
}
}
“`

Dalam contoh ini, `uninitializedData` adalah variabel storage pointer yang belum diinisialisasi. Ketika `setValue` dipanggil, ia dapat menimpa data di lokasi storage yang tidak terduga, tergantung pada bagaimana kompiler mengalokasikan storage.

Solusi: Inisialisasi Semua Variabel Storage

Selalu inisialisasi variabel storage pointer sebelum menggunakannya untuk menghindari menimpa data yang tidak diinginkan.

“`solidity
pragma solidity ^0.6.0;

contract InitializedStorage {
struct Data {
uint value;
}

Data public data;
Data storage initializedData;

constructor() public {
initializedData = data; // Inisialisasi storage pointer
}

function setValue(uint _value) public {
initializedData.value = _value; // Aman, karena storage pointer sudah diinisialisasi
}
}
“`

Dalam contoh ini, `initializedData` diinisialisasi ke `data` dalam konstruktor, memastikan bahwa ia menunjuk ke lokasi storage yang valid.

11. Kesalahan Umum Lainnya dan Tips Keamanan

  • Hardcoding Alamat: Hindari hardcoding alamat kontrak. Gunakan parameter deployment atau oracle untuk mendapatkan alamat kontrak secara dinamis.
  • Tidak Menggunakan Events untuk Logging: Gunakan events untuk mencatat aktivitas penting dalam kontrak Anda. Ini akan membantu Anda men-debug dan memantau kontrak Anda.
  • Gunakan Static Analysis Tools: Gunakan alat analisis statis seperti Slither, Mythril, dan Oyente untuk menemukan kerentanan keamanan dalam kode Anda.
  • Auditing Kontrak Anda: Mintalah auditor keamanan profesional untuk meninjau kode Anda sebelum Anda me-deploy-nya ke mainnet.

12. Kesimpulan: Keamanan Solidity adalah Perjalanan, Bukan Tujuan

Keamanan Solidity adalah proses berkelanjutan. Tidak ada solusi tunggal yang dapat menjamin keamanan kontrak Anda. Penting untuk terus belajar dan mengikuti praktik terbaik keamanan. Dengan memahami potensi kerentanan dan menerapkan solusi yang tepat, Anda dapat mengurangi risiko dan memastikan bahwa kontrak Anda aman dan andal.

Ingatlah, keamanan smart contract bukan hanya tentang menghindari kerugian finansial, tetapi juga tentang menjaga kepercayaan pada teknologi blockchain secara keseluruhan. Dengan mengambil langkah-langkah untuk melindungi kontrak Anda, Anda berkontribusi pada ekosistem blockchain yang lebih aman dan terpercaya.

“`

omcoding

Related Posts
May 22, 2025 Tech News by omcoding

A case of endonasal balloon-assisted dacryoplasty right after disappointment associated with endonasal dacryocystorhinostomy.

Kasus Dakriosistoplasti dengan Bantuan Balon Endonasal Setelah Kekecewaan dengan Dakriosistorinostomi Endonasal Dakriosistorinostomi endonasal (DCR-E) adalah prosedur umum untuk mengobati obstruksi…
May 25, 2025 Tech News by omcoding

What to eat

Panduan Lengkap: Apa yang Sebaiknya Anda Makan untuk Kesehatan Optimal dan Kesejahteraan Mencari tahu apa yang sebaiknya dimakan bisa terasa…
May 23, 2025 Tech News by omcoding

O Futuro da Genômica da Inteligência: Reflexões do Genetic Intelligence Project

O Futuro da GenĂ´mica da InteligĂŞncia: Reflexões do Genetic Intelligence Project A genĂ´mica da inteligĂŞncia Ă© um campo emergente que…
May 21, 2025 Tech News by omcoding

React Post Creation Form: Building the Frontend for Your Content Management System

React Post Creation Form: Membangun Frontend untuk Sistem Manajemen Konten Anda Dalam era digital ini, konten adalah raja. Namun, menciptakan…
May 27, 2025 Tech News by omcoding

How to use a knowledge graph ft. Yohei Nakajima

Cara Menggunakan Knowledge Graph ft. Yohei Nakajima: Panduan Lengkap Knowledge graph (graf pengetahuan) adalah alat canggih yang dapat mengubah cara…
May 21, 2025 Tech News by omcoding

We Fine-Tuned our OCR to Read Code: Here’s What It Took (and What Broke)

Kami Menyesuaikan OCR Kami untuk Membaca Kode: Inilah yang Dibutuhkan (dan Apa yang Rusak) Optical Character Recognition (OCR) telah menjadi…
May 22, 2025 Tech News by omcoding

What are the Key Challenges of Using a Cloud Data Lake?

What are the Key Challenges of Using a Cloud Data Lake? Data lakes have emerged as powerful solutions for storing…
May 20, 2025 Tech News by omcoding

Level Up Your Coding Game with These Free Vibe Coding Tools!

Level Up Your Coding Game with These Free Vibe Coding Tools! Coding bisa jadi sulit, melelahkan, dan terkadang… membosankan. Tapi,…
May 22, 2025 Tech News by omcoding

Forged in Feedback and Sharpened by Every Review

Forged in Feedback and Sharpened by Every Review: How Constructive Criticism Fuels Growth Feedback is the breakfast of champions,” Ken…
May 21, 2025 Tech News by omcoding

Leveraging Lighthouse audits to optimize web performance

Leveraging Lighthouse Audits to Optimize Web Performance In today’s fast-paced digital world, website performance is paramount. Slow-loading websites lead to…

Leave a Reply

Your email address will not be published. Required fields are marked *