Panduan Keamanan DeFi: Bagaimana Melindungi Diri Secara Efektif dari Serangan Peretas di Era AI?

Judul asli: How To Stop Losing Money To DeFi Hacks
Penulis asli: sysls, openforage
Kompilasi asli: AididiaoJP, Foresight News

Pendahuluan

Setelah memahami banyak kejadian serangan hacker terhadap protokol DeFi, saya merasa takut terhadap “aktor negara”. Mereka sangat mahir secara teknologi, memiliki sumber daya yang cukup, dan bermain permainan jangka panjang; para penjahat super ini fokus menelusuri setiap sudut protokol dan infrastruktur Anda untuk mencari celah, sementara tim protokol biasa teralihkan perhatian ke enam atau tujuh bidang bisnis berbeda.

Saya tidak mengklaim diri sebagai ahli keamanan, tetapi saya pernah memimpin tim dalam lingkungan berisiko tinggi (termasuk militer dan bidang keuangan dengan dana besar), dan memiliki pengalaman dalam berpikir serta merencanakan skenario darurat.

Saya sungguh percaya, hanya orang yang paranoid yang bisa bertahan hidup. Tidak ada tim yang mulai dengan sikap “saya akan santai dan acuh tak acuh terhadap keamanan”; namun serangan hacker tetap terjadi. Kita harus melakukan lebih baik lagi.

AI berarti ini benar-benar berbeda kali ini

(Sumber data: https://defillama.com/hacks)

Serangan hacker tidak jarang terjadi, tetapi frekuensinya jelas meningkat. Kuartal pertama 2026 adalah kuartal dengan jumlah serangan hacker DeFi terbanyak yang tercatat, dan kuartal kedua baru saja dimulai, tetapi sudah berpotensi memecahkan rekor kuartal sebelumnya.

Asumsi utama saya adalah: AI secara besar-besaran menurunkan biaya pencarian celah dan secara signifikan memperluas permukaan serangan. Manusia membutuhkan beberapa minggu untuk menelusuri konfigurasi seratus protokol dan mencari kesalahan konfigurasi; sedangkan model dasar terbaru hanya membutuhkan beberapa jam saja.

Ini harusnya benar-benar mengubah cara kita berpikir dan merespons serangan hacker. Protokol lama yang terbiasa mengandalkan keamanan sebelum AI menjadi kuat, semakin menghadapi risiko “dibunuh” dalam sekejap.

Berpikir dari permukaan dan hierarki

(Sumber data: https://defillama.com/hacks)

Permukaan serangan hacker sebenarnya dapat dikategorikan menjadi tiga: tim protokol, kontrak pintar dan infrastruktur, serta batas kepercayaan pengguna (DSN, media sosial, dll).

Setelah mengidentifikasi permukaan ini, tambahkan lapisan pertahanan:

· Pencegahan: jika dilaksanakan secara ketat, dapat meminimalkan peluang dimanfaatkan.

· Mitigasi: saat pencegahan gagal, membatasi tingkat kerusakan.

· Penangguhan: tidak ada yang bisa membuat keputusan terbaik di bawah tekanan besar. Setelah mengonfirmasi serangan, segera aktifkan saklar utama. Pembekuan dapat mencegah kerugian lebih lanjut dan memberi ruang untuk berpikir…

· Pengambilalihan: jika Anda kehilangan kendali atas komponen beracun atau yang telah diretas, abaikan dan ganti.

· Pemulihan: ambil kembali apa yang hilang. Rencanakan sebelumnya kerja sama dengan pihak yang dapat membekukan dana, membatalkan transaksi, dan membantu penyelidikan.

Prinsip

Prinsip-prinsip ini membimbing tindakan konkret dalam setiap lapisan pertahanan.

Penggunaan AI mutakhir secara besar-besaran

Gunakan model AI mutakhir secara besar-besaran untuk memindai kode dan konfigurasi Anda, mencari celah, dan melakukan pengujian red team secara luas: coba cari celah di front-end dan lihat apakah bisa menyentuh back-end. Penyerang melakukan hal ini. Apa yang bisa Anda temukan melalui pemindaian defensif, mereka sudah temukan melalui pemindaian ofensif.

Gunakan skill seperti pashov, nemesis, serta platform AI seperti Cantina (Apex) dan Zellic (V12) untuk memindai kode secara cepat sebelum audit lengkap dilakukan.

Waktu dan gesekan adalah pertahanan yang baik

Tambahkan langkah-langkah dan penguncian waktu pada operasi yang berpotensi merugikan. Anda perlu cukup waktu untuk intervensi dan membekukan saat menemukan anomali.

Alasan sebelumnya menentang pengaturan waktu dan langkah-langkah berlapis adalah karena akan menimbulkan gesekan bagi tim protokol. Sekarang, Anda tidak perlu terlalu khawatir: AI dapat dengan mudah melewati gesekan ini di latar belakang.

Invarians

Kontrak pintar dapat membangun pertahanan dengan menuliskan “fakta” yang tidak dapat diubah: jika fakta ini dilanggar, logika protokol akan runtuh.

Biasanya, Anda hanya memiliki beberapa invarians. Tingkatkan secara hati-hati ke kode; menerapkan banyak invarians di setiap fungsi menjadi sulit dikelola.

Keseimbangan kekuasaan

Banyak serangan hacker berasal dari wallet yang diretas. Anda perlu konfigurasi seperti ini: meskipun multisig diretas, kerusakan dapat segera dikendalikan dan protokol dikembalikan ke keadaan yang dapat dipertanggungjawabkan.

Ini membutuhkan keseimbangan antara governance (pengambilan keputusan) dan rescue (kemampuan memulihkan stabilitas yang dapat digovernance, tanpa mengganti atau membatalkan governance itu sendiri).

Selalu ada masalah

Mulai dari asumsi: tidak peduli seberapa pintar Anda, Anda akan diretas. Kontrak pintar atau dependensi Anda mungkin gagal. Anda bisa menjadi korban serangan rekayasa sosial, dan pembaruan baru bisa memperkenalkan celah yang tidak terduga.

Dengan berpikir seperti ini, pembatasan kerusakan dan pemutus sirkuit protokol akan menjadi teman terbaik Anda. Batasi kerusakan pada 5-10%, lalu beku, dan rencanakan respons Anda. Tidak ada yang bisa membuat keputusan terbaik di tengah situasi genting.

Waktu terbaik untuk perencanaan adalah sekarang

Pikirkan skenario respons Anda sebelum diserang. Sebisa mungkin, kodekan prosesnya dan latih tim Anda, agar saat kejadian, Anda tidak panik. Di era AI, ini berarti memiliki keahlian dan algoritma yang mampu menyajikan informasi dalam jumlah besar secepat mungkin, dan membagikannya secara ringkas dan panjang ke inti tim Anda.

Anda tidak perlu sempurna, tetapi Anda harus bertahan hidup. Tidak ada sistem yang sempurna dari hari pertama; melalui iterasi berulang, Anda akan menjadi anti-fragile dengan belajar dari pengalaman.

Tidak ada bukti bahwa Anda tidak akan diretas, dan itu tidak berarti Anda tidak akan diretas. Titik kenyamanan terbesar seringkali adalah titik bahaya terbesar.

Langkah-langkah pencegahan

Desain kontrak pintar

Setelah menetapkan invarians, tingkatkan menjadi pemeriksaan saat runtime. Pikirkan dengan cermat invarians mana yang benar-benar layak dipaksakan.

Ini adalah pola FREI-PI (Function Requirements, Effects, Interactions, Protocol Invariants): di setiap akhir fungsi yang menyentuh nilai, verifikasi kembali invarians mahkota yang dijanjikan fungsi tersebut untuk dipertahankan. Banyak serangan seperti CEI (Checks-Effects-Interactions) (serangan sandwich flashloan, likuidasi bantuan oracle, pengurasan kemampuan bayar antar fungsi) dapat ditangkap oleh pemeriksaan invarians di akhir fungsi.

Pengujian yang baik

Pengujian fuzzing status (Stateful fuzzing) menghasilkan urutan panggilan acak ke protokol yang lengkap dan mengassert invarians di setiap langkah. Sebagian besar celah di lingkungan produksi adalah transaksi multi, dan fuzzing status hampir satu-satunya cara yang andal untuk menemukan jalur ini sebelum penyerang.

Gunakan pengujian invarians untuk memastikan properti berlaku di semua urutan panggilan yang dihasilkan fuzzing. Dikombinasikan dengan verifikasi formal, ini dapat membuktikan properti berlaku di semua keadaan yang dapat dicapai. Invarians mahkota Anda harus menerima perlakuan ini.

Oracle dan dependensi

Kompleksitas adalah musuh keamanan. Setiap dependensi eksternal memperluas permukaan serangan. Saat merancang primitive, berikan pilihan kepada pengguna tentang siapa dan apa yang mereka percayai. Jika tidak bisa menghilangkan dependensi, lakukan diversifikasi, sehingga tidak ada satu titik kegagalan tunggal yang bisa menghancurkan protokol Anda.

Perluas cakupan audit untuk mensimulasikan kemungkinan kegagalan oracle dan dependensi, serta berikan batasan kecepatan terhadap potensi bencana jika mereka gagal.

Contoh terbaru adalah celah KelpDAO: mereka mengadopsi konfigurasi LayerZero default requiredDVNCount=1, yang berada di luar cakupan audit mereka. Akibatnya, yang diretas adalah infrastruktur off-chain di luar audit.

Permukaan serangan

Sebagian besar permukaan serangan DeFi sudah terdaftar. Periksa satu per satu setiap kategori, tanyakan apakah itu berlaku untuk protokol Anda, lalu terapkan kontrol terhadap vektor serangan tersebut. Kembangkan skill red team agar AI Anda aktif mencari celah di protokol; ini sudah menjadi standar saat ini.

Memiliki kemampuan rescue asli

Dalam governance berbasis voting, kekuasaan awal terkonsentrasi di multisig tim, dan butuh waktu untuk menyebar. Bahkan jika distribusi token luas, delegasi seringkali mengkonsentrasikan otoritas ke beberapa wallet (bahkan terkadang satu wallet). Jika wallet ini diretas, permainan selesai.

Deploy “wallet penjaga”, berikan otorisasi yang sangat terbatas: mereka hanya bisa menangguhkan protokol, dan jika >=4/7 threshold tercapai, dapat mengganti delegasi yang rusak ke wallet pengganti yang sudah ditentukan. Penjaga tidak pernah bisa menjalankan proposal governance.

Dengan cara ini, Anda memiliki lapisan rescue yang selalu bisa mengembalikan stabilitas governance, tanpa memiliki kekuasaan untuk membatalkan governance itu sendiri. Probabilitas kehilangan >=4/7 penjaga sangat kecil (mengacu pada keberagaman pemilik), dan saat governance matang dan tersebar, lapisan ini bisa secara bertahap dihapus.

Topologi wallet dan kunci

Multisig adalah keharusan dasar, minimal 4/7. Tidak ada satu orang pun yang mengendalikan semua 7 kunci. Rotasi signer secara rutin dan diam-diam.

Kunci tidak pernah berinteraksi dengan perangkat yang digunakan sehari-hari. Jika Anda menggunakan perangkat tanda tangan untuk browsing internet, email, atau Slack, anggap signer tersebut sudah diretas.

Miliki beberapa multisig, masing-masing untuk tujuan berbeda. Asumsikan minimal satu multisig lengkap akan diretas, dan rencanakan dari sana. Tidak ada orang yang seharusnya memiliki kontrol cukup untuk meretas protokol, bahkan dalam skenario ekstrem (penculikan, penyiksaan, dll).

Pertimbangkan bounty

Jika Anda punya sumber daya, menetapkan bounty kerentanan tinggi relatif terhadap TVL protokol sangat layak; bahkan untuk protokol kecil, bounty harus sebaiknya sebesar 7-8 digit minimal.

Jika Anda menghadapi serangan dari aktor negara, mereka mungkin tidak akan bernegosiasi, tetapi Anda tetap bisa ikut program “white hat bounty”, mengizinkan white hat bertindak atas nama Anda untuk melindungi dana, dan menerima persentase tertentu dari bounty sebagai biaya (sebenarnya dibayar oleh deposan).

Temukan auditor yang baik

Saya pernah menulis bahwa seiring model bahasa besar menjadi lebih pintar, nilai tambah mempekerjakan auditor menurun. Saya tetap percaya itu, tetapi pandangan saya telah berubah.

Pertama, auditor yang baik akan selalu selangkah di depan. Jika Anda mengerjakan sesuatu yang inovatif, kode dan celahnya mungkin tidak ada dalam data pelatihan mereka, dan menambah token saja belum terbukti efektif dalam menemukan celah baru. Anda tidak ingin menjadi sampel pertama dari celah unik.

Kedua, manfaat tersembunyi yang kurang dihargai adalah: mempekerjakan auditor adalah menggunakan reputasi mereka sebagai jaminan. Jika mereka menandatangani dan Anda diretas, mereka akan sangat termotivasi membantu. Menjalin hubungan dengan profesional keamanan adalah keuntungan besar.

Praktik keamanan operasional

Anggap keamanan operasional sebagai indikator keberhasilan. Latihan phishing; sewa (yang terpercaya) red team untuk mencoba melakukan social engineering terhadap tim. Siapkan hardware wallet dan perangkat cadangan, agar saat hari H, Anda bisa langsung mengganti multisig secara cepat. Jangan menunggu saat-saat genting untuk membeli ini semua.

Langkah mitigasi

Jalur keluar Anda adalah batas kerugian

Batas maksimum kerugian yang bisa terjadi saat jalur keluar digunakan adalah kerugian teoretis maksimum jika jalur tersebut disalahgunakan. Singkatnya: fungsi mint tanpa batas per blok adalah cek kosong untuk setiap celah pencetakan tak terbatas. Fungsi redeem tanpa batas per minggu adalah cek kosong untuk setiap saldo aset yang rusak.

Pertimbangkan secara hati-hati angka pasti untuk jalur keluar Anda. Angka ini harus menyeimbangkan antara kerusakan maksimum yang bisa Anda terima dan kebutuhan UX ekstrem pengguna. Jika terjadi masalah, ini adalah hal yang bisa menyelamatkan Anda dari kehancuran total.

Whitelist (dan blacklist)

Sebagian besar protokol memiliki daftar yang dapat dipanggil, diperdagangkan, atau diterima, serta daftar yang tidak boleh dilakukan pengguna. Bahkan jika implisit, ini adalah batas kepercayaan yang harus diformalisasi.

Memformalkan ini memungkinkan Anda mengatur setter dua tahap, menciptakan gesekan yang berarti. Penyerang harus menambahkan ke whitelist (dan/atau menghapus dari blacklist) terlebih dahulu, baru bisa bertindak. Memiliki keduanya berarti penyerang harus menembus dua proses sekaligus saat memperkenalkan vektor baru: pasar harus diizinkan (integrasi/listing), dan tindakan tersebut tidak boleh dilarang (peninjauan keamanan).

Pengambilalihan

Monitoring algoritma

Tanpa pengawasan, saklar utama tidak berguna. Pengawas off-chain harus terus memantau invarians, dan jika ada masalah, secara algoritmik tingkatkan alarm. Jalur terakhir harus sampai ke manusia di multisig penjaga, dan berikan konteks yang cukup agar mereka bisa membuat keputusan dalam beberapa menit.

Kalibrasi ulang saat terdeteksi

Jika Anda diserang, prioritas pertama adalah menghentikan pendarahan, bukan membuat keputusan dalam hitungan detik. Untuk protokol, ini adalah saklar utama (juga harus terlihat di UI): sebuah tombol yang bisa menghentikan semua jalur pergerakan nilai dalam satu transaksi. Siapkan skrip “pause all” yang bisa mengenumerasi semua komponen yang bisa dihentikan dan menghentikannya secara atom.

Hanya governance yang bisa membuka kembali pause, jadi saklar utama tidak boleh bisa menghentikan kontrak governance itu sendiri. Jika layer penjaga bisa menghentikan kontrak governance, layer penjaga yang diretas bisa mengunci proses pemulihan secara permanen.

Buat ruang komunikasi darurat

Bekukan, hentikan pendarahan, lalu ajak semua orang yang Anda percaya (kelompok kecil, yang sudah disepakati sebelumnya) ke saluran komunikasi. Anda ingin menjaga agar informasi tetap kecil agar tidak bocor ke penyerang, publik, atau pelaku arbitrase jahat.

Lakukan role-playing sesuai peran yang diperlukan: pengambil keputusan; operator yang mahir menjalankan skrip pertahanan dan pause; orang yang mampu merekonstruksi celah dan mengidentifikasi akar masalah; orang yang berkomunikasi dengan pihak terkait; orang yang mencatat observasi, kejadian, dan garis waktu keputusan.

Ketika semua orang tahu peran mereka dan sudah berlatih, Anda bisa merespons sesuai prosedur, bukan panik di saat kritis.

Pertimbangkan reaksi berantai

Asumsikan penyerang Anda sangat berpengalaman. Celah pertama mungkin adalah umpan, atau benih untuk serangan lanjutan. Serangan bisa saja memancing Anda melakukan hal yang salah, yang justru memicu celah nyata.

Pause harus melalui penelitian matang, benar-benar terkendali, dan tidak bisa dimanfaatkan. Pause harus berupa pembekuan seluruh protokol: Anda tidak ingin tergoda untuk menghentikan satu komponen dan membuka celah lain. Setelah menemukan akar dan vektor serangan, telusuri permukaan dan reaksi berantai yang terkait, lalu perbaiki semuanya sekaligus.

Rotasi pengganti yang sudah dijanjikan sebelumnya

Hanya dengan mengetahui pengganti sebelumnya, rotasi bisa aman. Saya suka ide daftar pengganti yang sudah dijanjikan: ini membuat penyerang lebih sulit mengganti penjaga/gudang governance yang sehat dengan yang diretas. Sejalan dengan konsep “whitelist/blacklist” dalam langkah mitigasi.

Daftarkan satu pengganti untuk setiap peran penting. Satu-satunya perintah rotasi yang bisa dilakukan saat darurat adalah “Ganti peran X dengan penggantinya”. Ini juga memungkinkan evaluasi pengganti secara perlahan: lakukan due diligence, temui orangnya, dan lakukan permintaan secara langsung.

Uji coba sebelum upgrade

Setelah Anda mengidentifikasi akar dan ruang lingkup, Anda harus melakukan rilis upgrade. Ini bisa jadi kode paling berbahaya yang akan Anda deploy: ditulis di bawah tekanan, dan menargetkan penyerang yang sudah terbukti mengetahui protokol Anda dan celahnya.

Tunda rilis jika belum cukup pengujian. Jika tidak ada waktu untuk audit, manfaatkan hubungan white hat, atau lakukan kompetisi 48 jam sebelum deployment untuk mendapatkan review adversarial yang segar.

Pemulihan

Tindakan cepat

Dana yang dicuri memiliki masa paruh; begitu celah dieksploitasi, dana tersebut akan cepat masuk ke jalur pencucian uang. Siapkan Chainalysis dan penyedia analisis on-chain lainnya untuk memantau alamat penyerang secara real-time, dan beri tahu platform trading saat mereka melompat antar chain agar bisa menandai dan melacak.

Siapkan daftar pihak ketiga yang berwenang membekukan pesan lintas chain atau deposit dalam perjalanan, termasuk platform trading, pengelola jembatan lintas chain, dan custodian.

Negosiasi

Ya, ini menyakitkan, tetapi Anda tetap harus mencoba bernegosiasi dengan penyerang. Banyak hal dalam hidup bisa diselesaikan melalui negosiasi. Tawarkan bounty white hat dengan batas waktu, dan umumkan bahwa jika dana dikembalikan penuh sebelum batas waktu, tidak akan ada tindakan hukum.

Jika menghadapi aktor negara, mungkin keberuntungan tidak berpihak, tetapi Anda bisa menghadapi penyerang yang kurang berpengalaman, yang hanya menemukan cara memanfaatkan Anda dan ingin keluar dengan biaya rendah.

Pastikan ada penasihat hukum saat melakukan ini.

Kesimpulan

Serangan hacker tidak akan berhenti, dan seiring AI menjadi lebih pintar, jumlah serangan akan semakin banyak. Hanya membuat pertahanan “lebih tajam” tidak cukup. Kita harus menggunakan alat yang sama dengan penyerang, melakukan red team testing terhadap protokol kita, terus memantau, dan menetapkan batas keras terhadap kerusakan agar bisa bertahan dalam situasi terburuk.

Link asli artikel

Klik untuk mengetahui lebih lanjut tentang Low-Tempo BlockBeats yang sedang merekrut

Bergabunglah dengan komunitas resmi BlockBeats:

Telegram langganan: https://t.me/theblockbeats

Grup Telegram: https://t.me/BlockBeats_App

Akun resmi Twitter: https://twitter.com/BlockBeatsAsia