Memahami Serangan Reentrancy & Cara Mencegahnya 🔐

Serangan reentrancy tampaknya rumit pada awalnya. Izinkan saya menjelaskannya dalam istilah sederhana dan tampilkan beberapa cara untuk menjaga smart contract Anda tetap aman 🛡️

Apa itu Serangan Reentrancy? 🧐

Ini terjadi ketika ContractB memanggil kembali ke ContractA sementara ContractA masih berjalan. Hal yang buruk. Penyerang menyukai kerentanan ini untuk menguras dana dari kontrak 💸

Bayangkan ini:

• ContractA memegang 10 ETH
• ContractB menempatkan 1 ETH
• ContractB kemudian mencuri segalanya

Mekanisme Serangan 🕵️‍♂️

Anda memerlukan dua hal kunci:

1. attack() fungsi untuk memulainya semua
2. fallback() fungsi untuk bagian licik

Alur berjalan seperti:

1. ContractB memulai serangan() yang memanggil withdraw() dari ContractA
2. ContractA memeriksa saldo ContractB
3. ContractA mengirim ETH ke ContractB
4. Ini memicu fallback ContractB()
5. Loop berlanjut. Uang hilang 🚨

Sangat mengejutkan betapa sederhana namun menghancurkannya ini.

Contoh Kode Rentan 📝

Inilah tampilan kontrak yang rentan: solidity fungsi withdrawAll() publik { uint bal = balances[msg.sender]; require(bal > 0);

(bool sent, ) = msg.sender.call{value: bal}("");
require(sent, "Gagal mengirim Ether");

balances[msg.sender] = 0; // Mengupdate SETELAH mengirim? Kesalahan besar!

}

Kontrak serangan melakukan ini: solidity fallback() eksternal dapat dibayar { jika ( etherStore.balance >= 1 ether ) etherStore.withdrawAll(); }

fungsi attack() eksternal dapat dibayar { require(msg.value >= 1 ether); etherStore.deposit{value: 1 ether}(); etherStore.withdrawAll(); }

Tiga Cara untuk Menghentikan Serangan Ini 🛡️

1. nonReentrant Modifier 🔒

solidity bool private locked = false;

modifier nonReentrant() { require(!locked, "Tidak ada reentrancy"); terkunci = true; _; kunci = false; }

Tambahkan ke fungsi yang rentan. Sederhana tetapi efektif.

2. Pola Cek-Dampak-Interaksi 📊

Ini sangat penting:

solidity fungsi withdrawAll() publik { uint bal = balances[msg.sender]; require(bal > 0);

balances[msg.sender] = 0; // Perbarui PERTAMA

(bool sent, ) = msg.sender.call{value: bal}(""); // KEMUDIAN interaksi
require(sent, "Gagal mengirim Ether");

}

Perbarui status Anda terlebih dahulu. Berinteraksi kemudian. Selalu.

3. Perlindungan Global 🌐

Untuk proyek yang lebih besar:

solidity kontrak GlobalReentrancyGuard { bool private locked = false;

modifier globalNonReentrant() {
    require(!locked, "Tidak ada reentrancy");
    terkunci = true;
    _;
    terkunci = false;
}

}

Biarkan semua kontrak Anda mewarisi ini. Ekosistem yang lebih aman.

Tren Terbaru 🔥

Pada September 2025, serangan ini masih mengganggu DeFi. Tidak sepenuhnya jelas mengapa pengembang terus melakukan kesalahan yang sama. Alat seperti Slither dapat mendeteksi masalah ini. Echidna dan Foundry membantu mengujinya 🚀

Keamanan bukan hanya tentang menambahkan modifikasi. Ini adalah pola pikir.

Tetap waspada di luar sana! 🛡️