Jadilah Cerdas – Mengakhiri Ketergantungan Berlebihan Crypto pada Audit Kontrak

#TrendingTopic Tahun lalu adalah wahana rollercoaster untuk crypto. Ada tindakan regulasi yang agresif, vonis kriminal yang terkenal, dan pencurian yang mengejutkan.
Dan meskipun begitu – kapitalisasi pasar cryptocurrency secara keseluruhan naik menjadi lebih dari $1,4 triliun di tahun 2023, dengan pertumbuhan tahunan lebih dari 70,7%.
Pengguna baru dan institusi mulai terlibat.
Sepanjang tahun 2023, jumlah #investors  crypto tumbuh sebesar 2,8% per bulan, dan Goldman Sachs menyebut tahun ini sebagai tahun di mana crypto menjadi terinstitusionalisasi.
Bulls dan bears sama-sama benar – ada peluang besar di pasar saat ini, tetapi juga risiko yang mengkhawatirkan.
Risiko ini tidak hanya terletak pada volatilitas pasar, atau bahkan tindakan kriminal berani dari manajer bursa – itu sudah terbenam dalam mekanisme crypto #transactions .
Kontrak pintar itu sendiri adalah target yang rentan dan menggoda bagi peretas, dan metode kita untuk mengamankannya sedang mengecewakan kita.
Berikut adalah primer cepat. Kontrak pintar adalah kontrak yang dieksekusi sendiri yang digunakan dalam transaksi blockchain. Syarat transaksi ditulis langsung ke dalam baris kode.
Kontrak-kontrak ini adalah target hacking yang menggoda – mereka digunakan untuk menangani jumlah besar dan token bernilai tinggi.
Jika kamu bisa memanipulasi kontrak, kamu bisa mengarahkan token sesuai keinginanmu.
Entitas blockchain melindungi diri mereka dengan audit kontrak pintar, di mana peninjau independen memeriksa kontrak pintar untuk cacat desain, kerentanan keamanan, efisiensi, dan masalah pengkodean lainnya.
Para auditor menerbitkan laporan publik, mencantumkan semua masalah yang ditemukan dan langkah-langkah yang diambil untuk menguranginya.
Sejauh ini, cukup transparan – audit membantu perusahaan blockchain memastikan kontrak pintar mereka aman dan membantu investor membuat keputusan yang terinformasi.
Proses ini jauh dari sempurna. Tidak ada standar yang diadopsi secara luas untuk verifikasi kontrak pintar, dan tidak ada audit yang benar-benar dapat menjamin bahwa kontrak pintar bebas bug.
Akibatnya, banyak kerentanan slip melalui celah, sering kali dengan hasil yang menghancurkan.
Berikut beberapa contoh dari tahun 2023 saja.
LendHub – eksploitasi $6 juta – Januari 2023
LendHub meninggalkan versi IBSV token yang terdepresiasi di kontrak pintarnya selama pembaruan. Baik versi lama maupun baru aktif di kontrak dengan harga yang sama.
Penyerang berhasil membeli versi lama dan #swap  untuk yang baru, membawa pulang $6 juta dalam nilai tambahan.
BonqDAO – eksploitasi $120 juta – Februari 2023
Penyerang berhasil memanipulasi fungsi ‘update price’ di kontrak pintar BonqDAO, memungkinkan mereka untuk mengubah harga token AllianceBlock’s ALBT.
Para peretas kemudian mencetak dan menukar jumlah besar token, yang akhirnya mengarah pada devaluasi dan likuidasi ALBT secara luas.
Euler Finance – eksploitasi $197 juta – Maret 2023
Sebuah celah dalam kontrak pintar Euler Finance memungkinkan penyerang untuk menyetor jaminan dan meminjam melawannya tanpa menarik jaminan awal.
Mereka menggunakan bug ini untuk mengeksekusi serangan pinjaman kilat yang memungkinkan mereka menarik hampir $200 juta aset berbasis #ETH  dalam sekejap.
Kita tidak bisa menghentikan perdarahan ini dengan lebih banyak audit. Kontrak pintar Euler Finance menjalani 10 audit berbeda dari enam perusahaan berbeda dan masih menjadi korban dari salah satu peretasan tunggal terbesar tahun ini.
Sebagian dari masalah adalah bahwa audit berfokus pada yang sudah ada. Mereka fokus pada kerentanan yang dikenal, melewatkan eksploitasi baru.
Peretas itu licik dan kreatif – kita perlu langkah-langkah keamanan yang dapat mengantisipasi dan merespons pendekatan baru yang sepenuhnya baru.
$AI  mungkin berguna untuk menutup celah dalam proses audit kontrak pintar.
Dalam eksperimen menggunakan GPT-4 dari OpenAI, OpenZeppelin berhasil menggunakan AI untuk mengidentifikasi kerentanan dalam 20 dari 28 tantangan dari permainan hacking kontrak pintar Ethernaut.
Namun, kontrak pintar yang nyata jauh lebih kompleks, dan peluang untuk mengeksploitasinya lebih bervariasi daripada apa pun dalam lingkungan terkendali seperti permainan.
Dan yang lebih penting – menangkap 70% kerentanan tidak cukup.
Jika tim keamanan jaringanmu hanya bisa menghentikan 70% serangan, mereka semua akan dipecat.
Kita akan menunggu setidaknya satu generasi sebelum AI dapat serius membantu dalam keamanan kontrak pintar, dan kita membutuhkan solusi sekarang.
Langkah tambahan ini dapat diterapkan di tingkat dompet sehingga transaksi diperiksa sebelum dikirim ke on-chain.
Langkah-langkah tersebut bisa termasuk menangani inspeksi untuk mencegah aktor nakal mengeksekusi kontrak, sejarah kontrak pintar yang melacak setiap perubahan kontrak ke asalnya atau front-running untuk menghentikan transaksi mencurigakan sebelum token ditransfer.
Banyak eksploitasi kontrak pintar bergantung pada kecepatan. Dengan membangun lebih banyak gesekan ke dalam transaksi, kita dapat membuatnya lebih aman dan kurang menarik bagi aktor jahat.
Tahun 2024 dimulai dengan crypto dalam posisi terkuat yang pernah ada dalam beberapa tahun, tetapi kerentanan kontrak pintar telah membayangi kemajuan ini.
Ini adalah titik belok, di mana janji blockchain bertemu dengan kenyataan risikonya.
Sekarang, tugas kita adalah serius tentang keamanan di setiap tahap transaksi blockchain.
Daniel Chong adalah CEO dan co-founder Harpie, platform keamanan crypto. Sambil mengejar gelar Matematika di Universitas Duke, Daniel bekerja sebagai konsultan pengembangan dan keamanan untuk berbagai perusahaan crypto, memimpin proyek-proyek pemenang penghargaan menuju kemenangan di konferensi termasuk $ETH  Denver. Dia berdedikasi untuk mengakhiri ancaman pencurian crypto dan membuat kontrak pintar aman dan dapat diakses oleh semua orang.
Pemberitahuan: Pendapat yang diungkapkan di The @WISE PUMPS  bukanlah nasihat investasi. Investor harus melakukan uji tuntas sebelum membuat investasi berisiko tinggi dalam Bitcoin, cryptocurrency, atau aset digital. Harap diperhatikan bahwa transfer dan perdagangan Anda adalah risiko Anda sendiri, dan setiap kerugian yang mungkin Anda alami adalah tanggung jawab Anda. The @WISE PUMPS  tidak merekomendasikan pembelian atau penjualan cryptocurrency atau aset digital apa pun, dan The @WISE PUMPS  bukan penasihat investasi.