Panduan Keamanan DeFi: Bagaimana Melindungi Diri Secara Efektif dari Serangan Peretas di Era AI?

Judul Asli: How To Stop Losing Money To DeFi Hacks
Penulis Asli: sysls, openforage
Terjemahan: AididiaoJP, Foresight News

Penulis Asli:律动BlockBeats

Sumber Asli:

Reproduksi: 火星财经

Pendahuluan

Setelah memahami banyak kejadian serangan hacker terhadap protokol DeFi, saya menjadi takut terhadap “aktor negara”. Mereka sangat terampil, memiliki sumber daya yang cukup, dan bermain permainan jangka panjang; para penjahat super ini fokus mengurai setiap sudut protokol dan infrastruktur Anda untuk mencari celah, sementara tim protokol biasa teralihkan perhatian pada enam atau tujuh bidang bisnis yang berbeda.

Saya tidak mengklaim diri sebagai ahli keamanan, tetapi saya pernah memimpin tim dalam lingkungan berisiko tinggi (termasuk militer dan bidang keuangan dengan dana besar), dan memiliki pengalaman dalam memikirkan serta merencanakan skenario darurat.

Saya sungguh percaya, hanya orang yang paranoid yang bisa bertahan. Tidak ada tim yang mulai dengan sikap “saya akan santai dan acuh tak acuh terhadap keamanan”; namun serangan hacker tetap terjadi. Kita harus melakukan lebih baik.

AI Berarti Ini Benar-Benar Berbeda

Serangan hacker tidak jarang terjadi, tetapi frekuensinya jelas meningkat. Kuartal pertama 2026 adalah kuartal dengan jumlah serangan hacker DeFi terbanyak yang tercatat, dan kuartal kedua baru saja dimulai, tetapi sudah berpotensi memecahkan rekor kuartal sebelumnya.

Asumsi utama saya adalah: AI secara besar-besaran menurunkan biaya pencarian celah dan secara signifikan memperluas permukaan serangan. Manusia membutuhkan beberapa minggu untuk mengurai konfigurasi seratus protokol dan mencari kesalahan konfigurasi; sedangkan model dasar terbaru hanya membutuhkan beberapa jam untuk menyelesaikan.

Ini harusnya mengubah total cara kita berpikir dan merespons serangan hacker. Protokol lama yang terbiasa mengandalkan langkah-langkah keamanan sebelum AI menjadi kuat, semakin menghadapi risiko “dihancurkan dalam sekejap”.

Berpikir dengan Permukaan dan Hierarki

Permukaan serangan hacker sebenarnya dapat dikategorikan menjadi tiga: tim protokol, kontrak pintar dan infrastruktur, serta batas kepercayaan pengguna (DSN, media sosial, dll).

Setelah mengidentifikasi permukaan ini, tambahkan lapisan pertahanan:

· Pencegahan: Jika ditegakkan secara ketat, dapat meminimalkan probabilitas exploit.

· Mitigasi: Saat pencegahan gagal, membatasi tingkat kerusakan.

· Penangguhan: Tidak ada yang bisa membuat keputusan terbaik di bawah tekanan besar. Setelah mengonfirmasi serangan, segera aktifkan saklar utama. Pembekuan dapat mencegah kerugian lebih lanjut dan memberi ruang untuk berpikir…

· Pengambilalihan: Jika Anda kehilangan kendali atas komponen beracun atau yang telah diretas, abaikan dan ganti mereka.

· Pemulihan: Ambil kembali apa yang hilang. Rencanakan sebelumnya untuk bekerja sama dengan mitra yang dapat membekukan dana, membatalkan transaksi, dan membantu penyelidikan.

Prinsip

Prinsip-prinsip ini membimbing tindakan spesifik dalam menerapkan lapisan pertahanan.

Penggunaan AI Terkini Secara Meluas

Gunakan model AI terbaru secara besar-besaran untuk memindai kode dan konfigurasi Anda, mencari celah, dan melakukan pengujian red team secara luas: coba cari celah di front-end dan lihat apakah mereka bisa mencapai back-end. Penyerang melakukan hal yang sama. Apa yang bisa Anda temukan melalui pemindaian defensif, mereka sudah temukan melalui pemindaian ofensif.

Gunakan skill seperti pashov, nemesis, serta platform AI seperti Cantina (Apex) dan Zellic (V12), untuk memindai kode secara cepat sebelum audit lengkap.

Waktu dan Friksi adalah Pertahanan yang Baik

Tambahkan langkah-langkah dan penguncian waktu pada operasi yang berpotensi menyebabkan kerusakan. Anda perlu cukup waktu untuk intervensi dan membekukan saat menemukan anomali.

Alasan sebelumnya menentang penguncian waktu dan pengaturan multi-langkah adalah karena akan menimbulkan friksi bagi tim protokol. Sekarang, Anda tidak perlu terlalu khawatir: AI dapat dengan mudah melewati friksi ini di latar belakang.

Invarians

Kontrak pintar dapat membangun pertahanan dengan menuliskan “fakta” yang tidak dapat diubah: jika fakta ini dilanggar, logika protokol akan runtuh.

Biasanya, Anda hanya memiliki beberapa invarians. Tingkatkan mereka secara hati-hati ke tingkat kode; menerapkan banyak invarians di setiap fungsi menjadi sulit dikelola.

Keseimbangan Kekuasaan

Banyak serangan hacker berasal dari wallet yang diretas. Anda perlu konfigurasi di mana, bahkan jika multi-sig diretas, kerusakan dapat segera dikendalikan dan protokol kembali ke keadaan yang dapat dikelola.

Ini membutuhkan keseimbangan antara governance (pengambilan keputusan) dan rescue (kemampuan memulihkan stabilitas yang dapat dikelola, tanpa mengganti atau membatalkan governance itu sendiri).

Selalu Ada Masalah

Mulai dari awal, asumsikan: tidak peduli seberapa pintar Anda, Anda akan diretas. Kontrak pintar atau dependensi Anda mungkin gagal. Anda bisa terkena serangan rekayasa sosial, pembaruan baru bisa memperkenalkan celah yang tidak terduga.

Dengan berpikir seperti ini, pembatasan kerusakan melalui rate limiting dan circuit breaker akan menjadi teman terbaik Anda. Batasi kerusakan pada 5-10%, lalu beku, dan rencanakan respons Anda. Tidak ada yang bisa membuat keputusan terbaik di tengah serangan besar.

Waktu Terbaik untuk Perencanaan adalah Sekarang

Pikirkan skenario respons Anda sebelum diretas. Sebisa mungkin, kodekan prosesnya dan latih tim Anda, agar saat serangan terjadi, Anda tidak panik. Di era AI, ini berarti memiliki skill dan algoritma yang mampu menyajikan informasi sebanyak mungkin secara cepat, dan membagikannya dalam bentuk ringkasan dan panjang kepada inti tim Anda.

Anda tidak perlu sempurna, tetapi Anda harus bertahan hidup. Tidak ada sistem yang sempurna dari hari pertama; melalui iterasi berulang, Anda akan menjadi lebih tahan banting dengan belajar dari pengalaman.

Bukti bahwa Anda Tidak Akan Diretas Tidak Ada Artinya, Anda Tidak Akan Terhindar dari Diretas. Titik nyaman terbesar seringkali adalah titik bahaya terbesar.

Langkah Pencegahan

Desain Kontrak Pintar

Setelah menentukan invarians, tingkatkan mereka menjadi pemeriksaan saat runtime. Pikirkan dengan cermat mana invarians yang benar-benar layak ditegakkan.

Ini adalah pola FREI-PI (Function Requirements, Effects, Interactions, Protocol Invariants): di setiap akhir fungsi yang menyentuh nilai, verifikasi kembali invarians utama yang dijanjikan fungsi tersebut. Banyak serangan drain (flash loan sandwich, likuidasi berbantuan oracle, drain kemampuan bayar antar fungsi) dapat ditangkap oleh pemeriksaan invarians di akhir fungsi.

Pengujian yang Baik

Stateful fuzzing menghasilkan urutan panggilan acak ke seluruh permukaan publik protokol dan mengassert invarians di setiap langkah. Sebagian besar celah di lingkungan produksi adalah transaksi multi, dan fuzzing stateful hampir satu-satunya cara yang andal untuk menemukan jalur ini sebelum penyerang.

Gunakan pengujian invarians untuk memastikan properti berlaku di semua urutan panggilan yang dihasilkan fuzzing. Dikombinasikan dengan verifikasi formal, ini dapat membuktikan properti berlaku di semua keadaan yang dapat dicapai. invarians utama Anda harus menerima pendekatan ini.

Oracle dan Dependensi

Kompleksitas adalah musuh keamanan. Setiap dependensi eksternal memperluas permukaan serangan. Saat merancang primitive, berikan pilihan kepada pengguna tentang siapa dan apa yang mereka percayai. Jika tidak bisa dihilangkan, lakukan diversifikasi, sehingga tidak ada satu titik kegagalan tunggal yang bisa menghancurkan protokol Anda.

Perluas cakupan audit ke simulasi cara oracle dan dependensi bisa gagal, dan berikan rate limiting terhadap potensi bencana jika mereka gagal.

Contoh terbaru adalah celah KelpDAO: mereka mengadopsi konfigurasi LayerZero default requiredDVNCount=1, yang berada di luar cakupan audit mereka. Akhirnya, yang diretas adalah infrastruktur off-chain di luar audit.

Serangan Permukaan

Sebagian besar serangan permukaan di DeFi sudah tercantum. Periksa satu per satu setiap kategori, tanyakan apakah itu berlaku untuk protokol Anda, lalu terapkan kontrol terhadap vektor serangan tersebut. Latih skill red team, agar AI cerdas Anda aktif mencari celah di protokol Anda; ini sudah menjadi keharusan saat ini.

Memiliki Kemampuan Rescue Bawaan

Dalam governance berbasis voting, kekuasaan awal terkonsentrasi di multi-sig tim, dan butuh waktu untuk menyebar. Bahkan jika token tersebar luas, delegasi seringkali mengkonsentrasikan kekuasaan ke beberapa wallet (bahkan terkadang satu). Ketika wallet ini diretas, permainan selesai.

Deploy “wallet penjaga”, berikan otorisasi yang sangat terbatas: mereka hanya bisa menangguhkan protokol, dan di atas ambang >=4/7, dapat secara ekstrem mengganti delegasi yang rusak ke wallet pengganti yang sudah ditentukan. Penjaga tidak pernah bisa menjalankan proposal governance.

Dengan cara ini, Anda memiliki lapisan rescue yang selalu bisa memulihkan stabilitas governance, tanpa memiliki kekuasaan untuk membatalkan governance itu sendiri. Probabilitas kehilangan >=4/7 penjaga sangat kecil (mengacu pada keberagaman pemilik), dan saat governance matang dan tersebar, lapisan ini bisa secara bertahap dihapus.

Wallet dan Topologi Kunci

Multi-sig adalah keharusan, minimal 4/7. Tidak ada satu orang pun yang mengendalikan semua 7 kunci. Rotasi signer secara rutin dan diam-diam.

Kunci tidak boleh pernah berinteraksi dengan perangkat yang digunakan sehari-hari. Jika Anda menggunakan perangkat tanda tangan untuk browsing internet, email, atau Slack, anggap signer tersebut sudah diretas.

Miliki beberapa multi-sig, masing-masing untuk tujuan berbeda. Asumsikan setidaknya satu multi-sig lengkap akan diretas, dan rencanakan dari sana. Tidak ada orang yang seharusnya memiliki kendali cukup untuk meretas protokol, bahkan dalam skenario ekstrem (penculikan, penyiksaan, dll).

Pertimbangkan Bounty

Jika Anda punya sumber daya, menetapkan bounty kerentanan tinggi relatif terhadap TVL protokol sangat berharga; bahkan untuk protokol kecil, bounty harus sebaiknya murah hati (misalnya minimal 7-8 digit angka).

Jika Anda menghadapi serangan dari aktor negara, mereka mungkin tidak akan bernegosiasi, tetapi Anda tetap bisa ikut program “white hat safe harbor”, memberi wewenang kepada white hat untuk bertindak demi melindungi dana, dan mengambil persentase tertentu dari bounty sebagai biaya (sebenarnya dibayar oleh deposan).

Temukan Auditor yang Baik

Saya pernah menulis, bahwa seiring model bahasa besar menjadi lebih pintar, nilai tambah mempekerjakan auditor menurun. Saya tetap berpendapat demikian, tetapi pandangan saya telah berubah.

Pertama, auditor yang baik akan selalu berada di garis depan. Jika Anda mengerjakan sesuatu yang inovatif, kode dan celahnya mungkin tidak ada dalam data pelatihan mereka, dan menambah token saja belum terbukti efektif dalam menemukan celah baru. Anda tidak ingin menjadi sampel pertama dari celah unik.

Kedua, manfaat yang kurang dihargai adalah: mempekerjakan auditor adalah menggunakan reputasi mereka sebagai jaminan. Jika mereka menandatangani dan Anda diretas, mereka akan sangat termotivasi membantu. Menjalin hubungan dengan profesional keamanan adalah keuntungan besar.

Praktik Keamanan Operasi

Anggap keamanan operasional sebagai indikator keberhasilan. Latih simulasi phishing; sewa (yang terpercaya) red team untuk mencoba melakukan social engineering terhadap tim. Siapkan hardware wallet dan perangkat cadangan, agar saat hari H, Anda tidak panik membelinya.

Langkah Mitigasi

Jalur keluar Anda adalah batas kerugian

Setiap jalur keluar yang membatasi nilai yang bisa dipindahkan dari protokol adalah kerugian maksimum yang bisa terjadi jika jalur tersebut dieksploitasi. Singkatnya: fungsi mint tanpa batas per blok adalah cek kosong untuk setiap celah pencetakan tak terbatas. Fungsi redeem tanpa batas mingguan adalah cek kosong untuk setiap saldo aset.

Pertimbangkan secara hati-hati angka pasti untuk jalur keluar Anda. Angka ini harus menyeimbangkan antara kerusakan maksimal yang bisa Anda tanggung dan kebutuhan UX ekstrem pengguna. Jika terjadi masalah, ini adalah hal yang bisa menyelamatkan Anda dari kehancuran total.

Daftar Putih (dan Hitam)

Sebagian besar protokol memiliki daftar yang bisa dipanggil, diperdagangkan, atau diterima, serta daftar pengguna yang tidak boleh melakukan sesuatu. Bahkan jika implisit, ini adalah batas kepercayaan yang harus diformalisasi.

Formalitas ini memungkinkan Anda mengatur setter dua tahap, menciptakan friksi yang berarti. Penyerang harus menambahkan ke daftar putih (dan/atau menghapus dari daftar hitam) terlebih dahulu, baru bisa bertindak. Memiliki keduanya berarti penyerang harus menembus dua proses sekaligus: pasar harus diizinkan (integrasi/listing), dan tindakan tersebut tidak boleh dilarang (peninjauan keamanan).

Pengambilalihan

Monitoring algoritma

Tanpa pengawasan, saklar mati tidak berguna. Pengawas off-chain harus terus memantau invarians, dan jika ada masalah, secara algoritmik meningkatkan alarm. Jalur akhir harus sampai ke tangan manusia di multi-sig penjaga, dan memberi cukup konteks agar mereka bisa membuat keputusan dalam beberapa menit.

Rekalibrasi

Jika Anda diserang, hentikan pendarahan terlebih dahulu, bukan membuat keputusan dalam hitungan detik. Untuk protokol, ini adalah saklar mati (harus juga terlihat di UI): sebuah tombol yang bisa menghentikan semua jalur pergerakan nilai dalam satu transaksi. Siapkan skrip “pause everything” yang mengenumerasi semua komponen yang bisa dihentikan dan menghentikannya secara atom.

Hanya governance yang bisa membatalkan pause, jadi saklar mati tidak boleh menghentikan kontrak governance itu sendiri. Jika lapisan penjaga bisa menghentikan kontrak governance, maka lapisan tersebut bisa mengunci proses pemulihan secara permanen.

Aktifkan Ruang Darurat

Freeze, hentikan pendarahan, lalu ajak semua orang terpercaya (kelompok kecil, yang sudah disepakati sebelumnya) ke saluran komunikasi. Buat agar informasinya terbatas, untuk mencegah bocornya ke penyerang, publik, atau pelaku arbitrase jahat.

Lakukan role-playing sesuai peran yang diperlukan: pengambil keputusan; operator yang mahir menjalankan skrip pertahanan dan pause; orang yang merekayasa celah dan mengidentifikasi akar masalah; orang yang berkomunikasi dengan pihak terkait; orang yang mencatat observasi, kejadian, dan garis waktu keputusan.

Ketika semua orang tahu peran mereka dan sudah berlatih, Anda bisa merespons sesuai prosedur, bukan panik di saat kritis.

Pertimbangkan Reaksi Berantai

Asumsikan penyerang Anda sangat berpengalaman. Celah pertama mungkin adalah umpan, atau benih untuk serangan lanjutan. Serangan bisa berupa memancing Anda melakukan hal yang salah, yang kemudian memicu celah nyata.

Pause harus melalui studi mendalam, sepenuhnya terkendali, dan tidak bisa dieksploitasi sendiri. Pause harus berupa pembekuan seluruh protokol: Anda tidak ingin tergoda untuk menghentikan satu komponen, lalu membuka celah lain. Setelah menemukan akar dan vektor serangan, telusuri permukaan yang terbuka dan reaksi berantai, dan perbaiki semuanya sekaligus.

Rotasi Pengganti yang Sudah Ditetapkan

Hanya dengan mengetahui pengganti sebelumnya, rotasi bisa aman. Saya suka ide daftar pengganti yang sudah dikonfirmasi sebelumnya: ini membuat penyerang lebih sulit mengganti penjaga / wallet governance yang sehat dengan yang diretas. Ini sejalan dengan konsep “white list / black list” dalam langkah mitigasi.

Daftarkan satu alamat pengganti untuk setiap peran penting. Satu-satunya perintah rotasi yang diizinkan dalam keadaan darurat adalah “Ganti peran X dengan penggantinya”. Ini juga memungkinkan evaluasi pengganti secara perlahan selama masa damai: lakukan due diligence, temui orang yang mengajukan permintaan, dan lakukan proses yang tepat.

Uji dengan hati-hati sebelum upgrade

Setelah Anda mengidentifikasi akar masalah dan ruang lingkupnya, Anda harus merilis upgrade. Ini mungkin kode paling berbahaya yang akan Anda deploy: ditulis di bawah tekanan, menargetkan penyerang yang sudah terbukti memahami protokol Anda dan menemukan celah.

Tunda rilis tanpa pengujian yang cukup. Jika tidak ada waktu untuk audit, manfaatkan hubungan white hat, atau lakukan kompetisi adversarial selama 48 jam sebelum deployment untuk mendapatkan review yang segar.

Pemulihan

Tindakan Cepat

Dana yang dicuri memiliki paruh waktu; begitu celah dieksploitasi, dana tersebut akan cepat masuk ke jalur pencucian uang. Siapkan penyedia analisis on-chain seperti Chainalysis untuk memantau alamat penyerang secara real-time, dan beri tahu platform transaksi saat mereka melompat lintas chain agar bisa menandai dan melacak.

Siapkan daftar pihak ketiga yang bisa membekukan pesan lintas chain atau deposit tertentu, termasuk tim kepatuhan platform, pengelola jembatan lintas chain, pengelola escrow, dan lainnya.

Negosiasi

Ya, ini menyakitkan, tetapi Anda tetap harus mencoba berkomunikasi dengan penyerang. Banyak hal dalam hidup bisa diselesaikan melalui negosiasi. Tawarkan bounty white hat dengan batas waktu, dan umumkan bahwa jika dana dikembalikan penuh sebelum tenggat waktu, tidak akan ada tindakan hukum.

Jika menghadapi aktor negara, mungkin keberuntungan tidak berpihak, tetapi Anda bisa menghadapi penyerang yang kurang berpengalaman, yang hanya menemukan cara memanfaatkan Anda, dan ingin keluar dengan biaya rendah.

Sebelum melakukan ini, pastikan ada penasihat hukum di sana.

Kesimpulan

Serangan hacker tidak akan berhenti, dan seiring AI menjadi lebih pintar, serangan akan semakin banyak. Hanya membuat pertahanan “lebih tajam” tidak cukup. Kita perlu menggunakan alat yang sama dengan penyerang, melakukan red team testing terhadap protokol kita, terus memantau, dan menetapkan batas keras terhadap kerusakan agar kita bisa bertahan dalam skenario terburuk.