Panduan Keamanan DeFi: Bagaimana Melindungi Diri Secara Efektif dari Serangan Peretas di Era AI?

Judul asli: How To Stop Losing Money To DeFi Hacks
Penulis asli: sysls, openforage
Kompilasi asli: AididiaoJP, Foresight News

Pendahuluan

Setelah mempelajari banyak kejadian serangan hacker pada protokol DeFi, saya merasa takut terhadap “aktor negara”. Mereka sangat mahir secara teknologi, memiliki sumber daya yang cukup, dan bermain permainan jangka panjang; para penjahat super ini fokus mengulas setiap sudut protokol dan infrastruktur Anda untuk mencari celah, sementara tim protokol biasa teralihkan perhatian pada enam atau tujuh bidang bisnis yang berbeda.

Saya tidak mengklaim sebagai ahli keamanan, tetapi saya pernah memimpin tim dalam lingkungan berisiko tinggi (termasuk militer dan bidang keuangan dengan dana besar), dan memiliki pengalaman dalam berpikir dan merencanakan skenario darurat.

Saya sungguh percaya, hanya orang yang paranoid yang bisa bertahan hidup. Tidak ada tim yang mulai dengan sikap “saya akan santai dan acuh tak acuh terhadap keamanan”; namun serangan hacker tetap terjadi. Kita harus melakukan lebih baik lagi.

AI berarti ini benar-benar berbeda kali ini

(Sumber data: https://defillama.com/hacks)

Serangan hacker tidaklah jarang, tetapi frekuensinya jelas meningkat. Kuartal pertama 2026 adalah kuartal dengan jumlah serangan hacker DeFi terbanyak yang tercatat, dan kuartal kedua baru saja dimulai, tetapi sudah berpotensi memecahkan rekor kuartal sebelumnya.

Asumsi utama saya adalah: AI secara besar-besaran menurunkan biaya pencarian celah dan secara signifikan memperluas permukaan serangan. Manusia membutuhkan beberapa minggu untuk mengulas konfigurasi seratus protokol dan mencari kesalahan konfigurasi; sedangkan model dasar terbaru hanya membutuhkan beberapa jam saja.

Ini harusnya benar-benar mengubah cara kita berpikir dan merespons serangan hacker. Protokol lama yang terbiasa mengamankan diri sebelum AI menjadi kuat, semakin berisiko “dihancurkan” dalam sekejap.

Berpikir dari permukaan dan hierarki

(Sumber data: https://defillama.com/hacks)

Permukaan serangan hacker sebenarnya dapat dikategorikan menjadi tiga: tim protokol, kontrak pintar dan infrastruktur, serta batas kepercayaan pengguna (DSN, media sosial, dll).

Setelah mengidentifikasi permukaan ini, tambahkan lapisan pertahanan:

· Pencegahan: jika dilaksanakan secara ketat, dapat meminimalkan peluang dimanfaatkan.

· Mitigasi: saat pencegahan gagal, batasi tingkat kerusakan.

· Penangguhan: tidak ada yang bisa membuat keputusan terbaik di bawah tekanan besar. Setelah mengonfirmasi serangan, segera aktifkan saklar utama. Pembekuan dapat mencegah kerugian lebih lanjut dan memberi ruang untuk berpikir…

· Pengambilalihan: jika Anda kehilangan kendali atas komponen beracun atau yang telah diretas, abaikan dan ganti.

· Pemulihan: ambil kembali apa yang hilang. Rencanakan sebelumnya untuk menghubungi mitra yang dapat membekukan dana, membatalkan transaksi, dan membantu penyelidikan.

Prinsip

Prinsip-prinsip ini membimbing tindakan konkret dalam menerapkan lapisan-lapisan pertahanan.

Penggunaan AI mutakhir secara besar-besaran

Gunakan model AI mutakhir secara besar-besaran untuk memindai kode dan konfigurasi Anda, mencari celah, dan melakukan pengujian red team secara luas: coba cari celah di front-end dan lihat apakah mereka bisa mencapai back-end. Penyerang akan melakukan hal yang sama. Apa yang bisa Anda temukan melalui pemindaian defensif, mereka sudah temukan melalui pemindaian ofensif.

Gunakan skill seperti pashov, nemesis, serta platform AI seperti Cantina (Apex) dan Zellic (V12), untuk memindai kode secara cepat sebelum audit lengkap dilakukan.

Waktu dan gesekan adalah pertahanan yang baik

Tambahkan proses berlapis dan penguncian waktu untuk setiap operasi yang berpotensi merugikan. Anda membutuhkan cukup waktu untuk intervensi dan membekukan saat menemukan kejanggalan.

Alasan sebelumnya menentang pengaturan waktu dan proses berlapis adalah karena akan menimbulkan gesekan bagi tim protokol. Sekarang, Anda tidak perlu terlalu khawatir: AI dapat dengan mudah melewati gesekan ini di latar belakang.

Invarian

Kontrak pintar dapat membangun pertahanan dengan menulis “fakta” yang tidak dapat diubah: jika fakta ini dilanggar, logika protokol akan runtuh.

Biasanya, Anda hanya memiliki beberapa invarian. Tingkatkan secara hati-hati ke kode; menerapkan banyak invarian di setiap fungsi menjadi sulit dikelola.

Keseimbangan kekuasaan

Banyak serangan hacker berasal dari wallet yang diretas. Anda perlu konfigurasi: bahkan jika multisig diretas, kerusakan dapat segera dikendalikan dan protokol dikembalikan ke keadaan yang dapat dipertanggungjawabkan.

Ini membutuhkan keseimbangan antara governance (pengambilan keputusan) dan rescue (kemampuan memulihkan stabilitas yang dapat digovernance, tanpa mengganti atau membatalkan governance itu sendiri).

Selalu ada masalah

Mulai dari asumsi: tidak peduli seberapa pintar Anda, Anda akan diretas. Kontrak pintar atau dependensi Anda mungkin gagal. Anda bisa menjadi korban serangan rekayasa sosial, dan pembaruan baru bisa memperkenalkan celah yang tidak Anda duga.

Dengan berpikir seperti ini, pembatasan kerusakan dan pemutus sirkuit protokol akan menjadi teman terbaik Anda. Batasi kerusakan pada 5-10%, lalu beku, dan rencanakan respons Anda. Tidak ada yang bisa membuat keputusan terbaik di tengah situasi genting.

Waktu terbaik untuk perencanaan adalah sekarang

Pikirkan skenario respons Anda sebelum terjadi serangan. Sebisa mungkin, kodekan prosesnya dan latih tim Anda, agar saat kejadian, Anda tidak panik. Di era AI, ini berarti memiliki kemampuan dan algoritma yang mampu menyajikan informasi dalam jumlah besar secepat mungkin, dan membagikannya secara ringkas maupun panjang ke inti tim Anda.

Anda tidak perlu sempurna, tetapi Anda harus bertahan. Tidak ada sistem yang sempurna dari hari pertama; melalui iterasi berulang, Anda akan menjadi lebih tahan banting dengan belajar dari pengalaman.

Bukti bahwa Anda tidak diretas tidak berarti Anda tidak akan diretas. Titik nyaman terbesar seringkali adalah titik paling berbahaya.

Tindakan pencegahan

Desain kontrak pintar

Setelah menentukan invarian, tingkatkan menjadi pemeriksaan saat runtime. Pikirkan dengan cermat mana invarian yang benar-benar layak dipaksakan.

Ini adalah pola FREI-PI (Function Requirements, Effects, Interactions, Protocol Invariants): di setiap akhir fungsi yang menyentuh nilai, verifikasi kembali invarian mahkota yang dijanjikan fungsi tersebut untuk dipertahankan. Banyak serangan seperti CEI (Checks-Effects-Interactions) yang memanfaatkan pengurasan (flash loan sandwich, likuidasi berbantuan oracle, pengurasan kemampuan bayar antar fungsi) dapat ditangkap oleh pemeriksaan invarian di akhir fungsi.

Pengujian yang baik

Pengujian fuzzing keadaan (Stateful fuzzing) menghasilkan urutan panggilan acak yang lengkap terhadap permukaan publik protokol, dan memastikan invarian tetap terpenuhi di setiap langkah. Sebagian besar celah di lingkungan produksi adalah transaksi multi-langkah, dan fuzzing keadaan hampir satu-satunya metode yang andal untuk menemukan jalur tersebut sebelum penyerang melakukannya.

Gunakan pengujian invarian untuk memastikan properti berlaku di semua urutan panggilan yang dihasilkan fuzzing. Dikombinasikan dengan verifikasi formal, ini dapat membuktikan properti berlaku di semua keadaan yang dapat dicapai. Invarian mahkota Anda harus menerima pendekatan ini.

Oracle dan dependensi

Kompleksitas adalah musuh keamanan. Setiap dependensi eksternal memperluas permukaan serangan. Saat merancang primitive, berikan pilihan kepada pengguna tentang siapa dan apa yang mereka percayai. Jika tidak bisa menghilangkan dependensi, lakukan diversifikasi, sehingga tidak ada satu titik kegagalan tunggal yang bisa menghancurkan protokol Anda.

Perluas cakupan audit untuk mensimulasikan kemungkinan kegagalan oracle dan dependensi, serta berikan batasan kecepatan terhadap potensi bencana jika mereka gagal.

Contoh terbaru adalah celah KelpDAO: mereka mengadopsi konfigurasi LayerZero default requiredDVNCount=1, yang berada di luar cakupan audit mereka. Akhirnya, yang diretas adalah infrastruktur off-chain di luar cakupan audit.

Permukaan serangan

Sebagian besar permukaan serangan dalam DeFi sudah tercantum. Periksa setiap kategori satu per satu, tanyakan apakah itu berlaku untuk protokol Anda, lalu terapkan kontrol terhadap vektor serangan tersebut. Latih skill red team, agar AI Anda aktif mencari celah di protokol; ini sudah menjadi standar saat ini.

Memiliki kemampuan rescue asli

Dalam governance berbasis voting, kekuasaan awal terkonsentrasi di multisig tim, dan butuh waktu untuk menyebar. Bahkan jika token tersebar luas, delegasi seringkali mengkonsentrasikan kekuasaan ke beberapa wallet (bahkan terkadang satu wallet saja). Ketika wallet ini diretas, permainan selesai.

Deploy “wallet penjaga”, berikan otorisasi yang sangat terbatas: mereka hanya bisa menangguhkan protokol, dan jika >=4/7 threshold tercapai, dapat secara ekstrem mengganti delegasi yang rusak ke wallet pengganti yang sudah ditentukan. Penjaga tidak pernah bisa menjalankan proposal governance.

Dengan cara ini, Anda memiliki lapisan rescue yang selalu bisa mengembalikan stabilitas governance, tanpa memiliki kekuasaan untuk membatalkan governance itu sendiri. Probabilitas kehilangan >=4/7 penjaga sangat rendah (mengacu pada keberagaman pemilik), dan saat governance matang dan tersebar, lapisan ini bisa secara bertahap dihapus.

Topologi wallet dan kunci

Multisig adalah keharusan dasar, minimal 4/7. Tidak ada satu orang pun yang mengendalikan semua 7 kunci. Rotasi signer secara rutin dan diam-diam.

Kunci tidak boleh pernah berinteraksi dengan perangkat yang digunakan sehari-hari. Jika Anda menggunakan perangkat tanda tangan untuk browsing internet, mengirim email, atau membuka Slack, berarti signer tersebut sudah diretas.

Miliki beberapa multisig, masing-masing untuk tujuan berbeda. Asumsikan minimal satu multisig lengkap akan diretas, dan rencanakan dari sana. Tidak ada orang yang seharusnya memiliki kontrol cukup untuk meretas protokol, bahkan dalam skenario ekstrem (penculikan, penyiksaan, dll).

Pertimbangkan bounty

Jika Anda memiliki sumber daya, menetapkan bounty kerentanan tinggi relatif terhadap TVL protokol sangat layak; bahkan untuk protokol kecil, bounty harus sebaiknya sebesar 7-8 digit minimal.

Jika Anda menghadapi serangan dari aktor negara, mereka mungkin tidak akan bernegosiasi, tetapi Anda tetap bisa ikut dalam program “white hat bounty”, mengizinkan white hat bertindak atas nama Anda untuk melindungi dana, dan menerima persentase tertentu dari bounty sebagai biaya (sebenarnya dibayar oleh deposan).

Temukan auditor yang baik

Saya pernah menulis bahwa seiring model bahasa besar menjadi lebih pintar, nilai tambah mempekerjakan auditor akan menurun. Saya tetap percaya itu, tetapi pandangan saya telah berubah.

Pertama, auditor yang baik akan selalu berada di garis depan. Jika Anda mengerjakan sesuatu yang inovatif, kode dan celahnya mungkin tidak ada dalam data pelatihan mereka, dan menambah token saja belum terbukti efektif dalam menemukan celah baru. Anda tidak ingin menjadi sampel pertama dari celah unik.

Kedua, manfaat tersembunyi yang kurang dihargai adalah: mempekerjakan auditor adalah bentuk jaminan reputasi mereka. Jika mereka menandatangani dan Anda diretas, mereka akan sangat termotivasi membantu. Menjalin hubungan dengan profesional keamanan adalah keuntungan besar.

Praktik keamanan operasional

Anggap keamanan operasional sebagai indikator keberhasilan. Latihan phishing; sewa tim red team (yang terpercaya) untuk mencoba melakukan social engineering terhadap tim Anda. Siapkan hardware wallet dan perangkat cadangan, untuk mengganti multisig secara cepat saat dibutuhkan. Jangan menunggu saat hari H untuk membelinya.

Tindakan mitigasi

Jalur keluar Anda adalah batas kerugian

Batas maksimum nilai yang bisa dipindahkan dari protokol adalah kerugian terbesar yang mungkin terjadi jika jalur tersebut disalahgunakan. Singkatnya: fungsi mint tanpa batas per blok adalah cek kosong untuk setiap celah pencetakan tak terbatas. Fungsi redeem tanpa batas per minggu adalah cek kosong untuk setiap saldo aset yang rusak.

Pertimbangkan secara hati-hati angka pasti untuk jalur keluar Anda. Angka ini harus menyeimbangkan antara kerusakan maksimal yang bisa Anda tanggung dan kebutuhan UX ekstrem pengguna. Jika terjadi masalah, ini adalah hal yang bisa menyelamatkan Anda dari kehancuran total.

Whitelist (dan blacklist)

Sebagian besar protokol memiliki daftar yang dapat dipanggil, diperdagangkan, atau diterima, serta daftar yang tidak boleh dilakukan pengguna. Bahkan jika implisit, ini adalah batas kepercayaan yang harus diformalisasi.

Memformalkan ini memungkinkan Anda mengatur setter dua tahap, menciptakan gesekan yang berarti. Penyerang harus menambahkan ke whitelist (dan/atau menghapus dari blacklist) terlebih dahulu, baru bisa bertindak. Memiliki keduanya berarti penyerang harus menembus dua proses sekaligus saat memperkenalkan vektor baru: pasar harus diizinkan (integrasi/listing), dan tindakan tersebut tidak boleh dilarang (peninjauan keamanan).

Pengambilalihan

Monitoring algoritma

Tanpa pengawasan, saklar utama tidak berguna. Pengawas off-chain harus terus memantau invarian, dan jika ada masalah, secara algoritmik meningkatkan alarm. Jalur terakhir harus sampai ke manusia di multisig penjaga, dan memberi mereka konteks yang cukup untuk membuat keputusan dalam beberapa menit.

Jeda dan kalibrasi ulang

Jika Anda diserang, Anda harus menghentikan pendarahan terlebih dahulu, bukan membuat keputusan dalam hitungan detik. Untuk protokol, ini adalah saklar utama (juga harus terlihat di UI): sebuah tombol yang dapat menghentikan semua jalur pergerakan nilai dalam satu transaksi. Siapkan skrip “pause all” yang dapat mengenumerasi semua komponen yang bisa dihentikan dan menghentikannya secara atom.

Hanya governance yang bisa melepas penangguhan, jadi saklar utama tidak boleh menghentikan kontrak governance itu sendiri. Jika layer penjaga bisa menghentikan kontrak governance, layer penjaga yang diretas bisa mengunci proses pemulihan secara permanen.

Mulai ruang operasi darurat Anda

Bekukan, hentikan pendarahan, lalu ajak semua orang yang Anda percaya (kelompok kecil, yang sudah disepakati sebelumnya) ke saluran komunikasi. Anda ingin menjaga agar informasi tetap terbatas agar tidak bocor ke penyerang, publik, atau pelaku arbitrase jahat.

Lakukan role-playing sesuai peran yang diperlukan: pengambil keputusan; operator yang mahir menjalankan skrip pertahanan dan penangguhan; orang yang merekayasa celah dan mengidentifikasi akar masalah; orang yang berkomunikasi dengan pihak terkait; orang yang mencatat observasi, kejadian, dan garis waktu keputusan.

Ketika semua orang tahu peran mereka dan sudah berlatih, Anda bisa merespons sesuai prosedur, bukan panik di saat kritis.

Pertimbangkan reaksi berantai

Asumsikan penyerang Anda sangat berpengalaman. Celah pertama mungkin adalah umpan, atau benih untuk serangan lanjutan. Serangan bisa saja memancing Anda melakukan hal yang salah, yang justru memicu celah nyata.

Penangguhan harus melalui penelitian mendalam, sepenuhnya terkendali, dan tidak bisa dimanfaatkan. Penangguhan harus berupa pembekuan seluruh protokol: Anda tidak ingin tergoda untuk menangguhkan satu komponen, lalu membuka celah lain. Setelah menemukan akar dan vektor serangan, telusuri permukaan yang terbuka dan reaksi berantai, lalu perbaiki semuanya sekaligus.

Rotasi pengganti yang sudah dijanjikan sebelumnya

Hanya dengan mengetahui pengganti sebelumnya, rotasi bisa dilakukan dengan aman. Saya suka ide daftar pengganti yang sudah dijanjikan: ini membuat penyerang lebih sulit mengganti penjaga/gudang yang sehat dengan yang diretas. Ini sejalan dengan konsep “whitelist/blacklist” dalam langkah mitigasi.

Daftarkan satu pengganti untuk setiap peran penting. Satu-satunya perintah rotasi yang bisa dilakukan saat darurat adalah “Ganti peran X dengan penggantinya”. Ini juga memungkinkan Anda menilai pengganti secara perlahan, melakukan due diligence, dan bertemu langsung sebelum melakukan upgrade.

Uji coba dengan hati-hati sebelum upgrade

Setelah Anda mengidentifikasi akar dan ruang lingkup dampak, lakukan rilis upgrade. Ini mungkin kode paling berbahaya yang akan Anda deploy: ditulis di bawah tekanan, dan menargetkan penyerang yang sudah terbukti mengetahui protokol Anda dan celahnya.

Tunda rilis jika belum cukup pengujian. Jika tidak ada waktu untuk audit, manfaatkan hubungan white hat, atau lakukan kompetisi 48 jam sebelum deploy untuk mendapatkan review adversarial terbaru.

Pemulihan

Tindakan cepat

Dana yang dicuri memiliki masa paruh; begitu celah dieksploitasi, dana tersebut akan cepat masuk ke jalur pencucian uang. Siapkan Chainalysis dan penyedia analisis on-chain lainnya untuk memantau alamat penyerang secara real-time, dan beri tahu platform trading saat mereka melompat lintas chain agar bisa menandai dan melacak.

Siapkan daftar pihak ketiga yang memiliki otoritas untuk membekukan pesan lintas chain atau deposit dalam perjalanan, termasuk platform trading, pengelola jembatan lintas chain, dan custodial.

Negosiasi

Ya, ini menyakitkan, tetapi Anda tetap harus mencoba berkomunikasi dengan penyerang. Banyak hal dalam hidup bisa diselesaikan melalui negosiasi. Tawarkan bounty white hat dengan batas waktu, dan umumkan bahwa jika dana dikembalikan penuh sebelum batas waktu, tidak akan ada tindakan hukum.

Jika menghadapi aktor negara, mungkin keberuntungan tidak berpihak, tetapi Anda bisa bernegosiasi dengan penyerang yang kurang berpengalaman, yang hanya menemukan cara memanfaatkan Anda dan ingin keluar dengan biaya rendah.

Pastikan ada penasihat hukum saat melakukan ini.

Kesimpulan

Serangan hacker tidak akan berhenti, dan seiring AI menjadi lebih pintar, jumlah serangan akan semakin banyak. Hanya membuat pertahanan “lebih tajam” saja tidak cukup. Kita harus menggunakan alat yang sama dengan penyerang, melakukan red team testing terhadap protokol kita, terus memantau, dan menetapkan batas keras terhadap kerusakan agar kita bisa bertahan dalam skenario terburuk.

Link asli artikel

Klik untuk mengetahui lebih banyak tentang律动BlockBeats dan posisi yang dibuka

Bergabunglah dengan komunitas resmi律动 BlockBeats:

Telegram langganan: https://t.me/theblockbeats

Telegram grup: https://t.me/BlockBeats_App

Akun resmi Twitter: https://twitter.com/BlockBeatsAsia