samczsun: Keamanan protokol kripto sangat bergantung pada audit ulang secara proaktif

Program bounty bug adalah langkah pasif, sedangkan perlindungan keamanan memerlukan tindakan proaktif.

Ditulis oleh: samczsun, Pendiri Security Alliance, mantan Mitra Riset Paradigm

Saat ini, industri telah mencapai konsensus bahwa perlindungan keamanan cryptocurrency harus mengikuti tiga langkah kunci: menulis kasus uji pada tahap pengembangan untuk mendeteksi kesalahan mendasar; melakukan audit dan kompetisi secara menyeluruh sebelum peluncuran; serta menetapkan program bounty bug untuk memberikan penghargaan kepada peneliti yang bertanggung jawab mengungkap bug demi mencegah serangan. Penyebaran praktik terbaik ini secara signifikan mengurangi jumlah bug on-chain, memaksa penyerang untuk mengalihkan target mereka ke pencurian private key, peretasan infrastruktur, dan bug off-chain lainnya.

Namun, bahkan protokol yang telah diaudit secara menyeluruh dan menawarkan bounty bug yang besar masih sesekali mengalami serangan hacker. Insiden semacam ini tidak hanya memengaruhi protokol yang terlibat, tetapi juga mengguncang fondasi kepercayaan seluruh ekosistem. Serangan hacker baru-baru ini terhadap Yearn, Balancer V2, serta insiden keamanan Abracadabra dan 1inch di awal tahun ini menunjukkan bahwa bahkan protokol yang telah teruji waktu pun tidak sepenuhnya aman. Apakah industri crypto sebenarnya bisa menghindari serangan-serangan ini? Atau apakah ini hanyalah harga yang harus dibayar dalam keuangan terdesentralisasi?

Para komentator sering berpendapat bahwa meningkatkan bounty bug dapat melindungi protokol-protokol ini. Namun, bahkan jika kita mengesampingkan realitas ekonomi, bounty bug pada dasarnya adalah langkah keamanan pasif, menyerahkan nasib protokol kepada white hat hacker, sementara audit adalah tindakan perlindungan diri yang proaktif dari protokol. Meningkatkan bounty bug tidak dapat menghentikan serangan hacker, karena ini sama saja dengan menggandakan taruhan, bertaruh bahwa white hat hacker akan menemukan bug sebelum black hat hacker. Jika protokol benar-benar ingin melindungi diri, mereka harus secara proaktif melakukan audit ulang.

Dana Treasury dan Nilai Terkunci (TVL)

Terkadang hacker setuju untuk mengembalikan sebagian besar dana yang dicuri, hanya menyisakan sebagian kecil (biasanya 10%) sebagai imbalan. Sayangnya, industri menyebut bagian imbalan ini sebagai "white hat bounty", yang menimbulkan pertanyaan: mengapa protokol tidak langsung menawarkan jumlah yang sama melalui program bounty bug, sehingga menghindari negosiasi yang rumit? Namun, pemikiran ini menyamakan dana yang dapat dicuri penyerang dengan dana yang dapat dikelola protokol.

Meski sekilas tampak bahwa protokol dapat menggunakan kedua jenis dana ini untuk perlindungan keamanan, protokol hanya memiliki hak legal atas dana treasury mereka sendiri, dan tidak berhak menggunakan dana yang disetorkan pengguna. Pengguna juga sangat kecil kemungkinannya untuk memberikan izin semacam itu sebelumnya, kecuali dalam situasi krisis (misalnya, ketika deposan harus memilih antara kehilangan 10% atau 100% dana mereka), barulah protokol diizinkan menggunakan deposit untuk negosiasi. Dengan kata lain, risiko akan meningkat seiring dengan nilai terkunci (TVL), tetapi anggaran keamanan tidak dapat meningkat secara bersamaan.

Efisiensi Modal

Bahkan jika protokol memiliki dana yang cukup (misalnya memiliki treasury besar, profitabilitas tinggi, atau telah menerapkan kebijakan biaya keamanan), bagaimana mendistribusikan dana ini secara efisien untuk perlindungan keamanan tetap menjadi tantangan. Dibandingkan dengan berinvestasi dalam audit ulang, meningkatkan bounty bug, dalam skenario terbaik, sangat tidak efisien secara modal, dan dalam skenario terburuk dapat menyebabkan ketidaksesuaian insentif antara protokol dan peneliti.

Jika bounty bug dikaitkan dengan TVL, maka ketika peneliti menduga TVL protokol akan meningkat dan kemungkinan bug yang sama muncul kembali sangat kecil, mereka jelas lebih termotivasi untuk menyembunyikan bug penting. Pada akhirnya, ini akan menempatkan peneliti dan protokol dalam posisi berlawanan langsung, merugikan kepentingan pengguna. Meningkatkan bounty untuk bug kritis saja juga sulit mencapai hasil yang diharapkan: komunitas peneliti independen sangat besar, tetapi hanya sedikit yang menghabiskan sebagian besar waktunya untuk bounty bug dan memiliki keterampilan yang cukup untuk menemukan bug di protokol kompleks. Para peneliti elit ini akan memfokuskan waktu mereka pada proyek bounty yang paling mungkin memberikan imbal hasil investasi. Untuk protokol besar yang telah teruji waktu, karena diasumsikan selalu diawasi oleh hacker dan peneliti lain, kemungkinan menemukan bug dianggap sangat kecil, sehingga berapa pun bounty yang ditawarkan, tidak cukup untuk menarik perhatian mereka.

Sementara itu, dari sudut pandang protokol, bounty bug adalah dana yang disisihkan untuk membayar satu bug kritis. Kecuali protokol yakin tidak akan pernah ada bug kritis, dan secara bersamaan menyembunyikan status likuiditas mereka dari peneliti, dana ini tidak dapat digunakan untuk tujuan lain. Daripada pasif menunggu peneliti menemukan bug kritis, lebih baik menggunakan jumlah yang sama untuk melakukan beberapa audit ulang selama bertahun-tahun. Setiap audit ulang dapat memastikan perhatian dari peneliti terbaik, tidak membatasi pada satu bug saja, serta menjaga keselarasan kepentingan antara peneliti dan protokol: jika protokol dieksploitasi, reputasi kedua belah pihak akan tercoreng.

Preseden yang Ada

Dalam industri perangkat lunak dan keuangan, audit tahunan adalah praktik matang yang telah teruji, juga merupakan cara terbaik untuk menilai apakah perusahaan mampu menghadapi lingkungan ancaman yang terus berkembang. Laporan SOC 2 Type II digunakan oleh klien B2B untuk menilai apakah vendor mempertahankan kontrol keamanan yang memadai; sertifikasi PCI DSS menunjukkan bahwa perusahaan telah mengambil langkah yang tepat untuk melindungi informasi pembayaran sensitif; pemerintah Amerika Serikat mewajibkan pihak yang mengakses informasi pemerintah untuk memperoleh sertifikasi FedRAMP demi menjaga standar keamanan tinggi.

Smart contract memang bersifat immutable, tetapi lingkungan operasionalnya tidak statis. Pengaturan konfigurasi dapat berubah seiring waktu, dependensi dapat diperbarui, dan pola kode yang sebelumnya dianggap aman bisa saja berisiko. Audit protokol adalah penilaian atas status keamanan pada saat audit dilakukan, bukan jaminan keamanan protokol di masa depan. Satu-satunya cara untuk memperbarui hasil penilaian ini adalah dengan melakukan audit baru.

Pada tahun 2026, industri crypto seharusnya menjadikan audit tahunan sebagai langkah keempat dalam perlindungan keamanan protokol. Protokol yang memiliki TVL besar harus melakukan audit ulang terhadap deployment mereka; perusahaan audit harus menyediakan layanan audit ulang profesional yang berfokus pada evaluasi deployment secara keseluruhan; seluruh ekosistem harus secara kolektif mengubah persepsi terhadap laporan audit, bahwa laporan tersebut hanyalah penilaian keamanan pada titik waktu tertentu, dapat kedaluwarsa, dan bukan jaminan keamanan permanen.