DeFi sering mengalami pencurian, bagaimana era AI dapat mencegah serangan hacker?

Tulisan: systs

OpenBuild Pengantar:

Pada April 2026, DeFi menghadapi masa tergelapnya, jumlah uang yang dicuri dalam satu bulan melampaui 625 juta dolar AS, mencatat rekor tertinggi dalam sejarah, hanya Drift dan KelpDAO dua serangan saja menyedot hampir 580 juta dolar AS. Ledakan AI membuat pola serangan dan pertahanan benar-benar berbalik, awalnya membutuhkan waktu berminggu-minggu secara manual untuk memeriksa celah protokol, sekarang model besar bisa menyelesaikan dalam beberapa jam, biaya serangan merosot tajam, dan permukaan serangan meningkat pesat, semakin banyak protokol menjadi target.

Para penyerang profesional yang memiliki sumber daya besar dan mahir dalam strategi jangka panjang, sedang mengawasi setiap celah protokol, sementara tim biasa dengan sumber daya terbatas, pertahanan yang pasif dan rapuh, hanya dengan tetap ekstrem paranoid, membangun seluruh proses pertahanan di muka, mengendalikan kerugian secara ketat, dan menyiapkan rencana cadangan, mereka bisa bertahan dalam perang AI ini. Berikut adalah isi asli yang disusun dan dirangkum oleh OpenBuild.

Setelah mengembangkan proyek @openforage dan meneliti banyak kejadian serangan historis terhadap protokol DeFi, saya mulai waspada terhadap para penyerang dari kekuatan tingkat nasional. Lawan semacam ini sangat berpengalaman, memiliki sumber daya besar, dan mahir dalam strategi jangka panjang; seperti penjahat tingkat atas, mereka akan memeriksa setiap celah protokol dan infrastruktur dasar secara menyeluruh, mencari celah yang bisa dimanfaatkan. Sementara tim protokol biasa sering terbagi fokus, menjalankan bisnis sekaligus menjaga keamanan, sehingga tidak mampu melakukan pertahanan total. Saya tidak menganggap diri sebagai ahli keamanan, tetapi saya pernah memimpin tim di lingkungan berisiko tinggi (pengalaman militer dan mengelola dana besar di lembaga keuangan besar), sehingga memiliki pengalaman matang dalam rencana risiko dan penanganan darurat. Saya percaya: hanya orang yang ekstrem paranoid yang bisa bertahan. Tidak ada tim yang memulai dengan sikap “keamanan seadanya”, tetapi serangan hacker tetap sering terjadi. Kita harus melakukan lebih baik lagi.

/ 01 Era AI: Segalanya Sudah Berbeda

Serangan hacker sudah umum, tetapi frekuensinya baru-baru ini meningkat tajam. Kuartal pertama 2026 mencatat jumlah serangan hacker terhadap DeFi tertinggi dalam sejarah, dan kuartal kedua yang baru dimulai, sudah berpotensi memecahkan rekor kuartal sebelumnya.

Pendapat utama saya adalah: AI secara signifikan menurunkan biaya pemindaian dan penggalian celah, sekaligus memperluas permukaan serangan. Pemeriksaan konfigurasi protokol secara manual membutuhkan waktu berminggu-minggu; sedangkan model besar terbaru hanya perlu beberapa jam saja. Ini benar-benar mengubah logika dasar pertahanan keamanan protokol dan penanganan darurat. Protokol yang lahir sebelum kebangkitan AI dan masih menggunakan metode keamanan tradisional, kini menghadapi risiko besar ditembus secara tepat sasaran.

/ 02 Memikirkan dari Permukaan Serangan dan Pertahanan Berlapis

Secara praktis, tiga jenis utama celah serangan hacker DeFi adalah:

Tim operasional protokol

Smart contract dan infrastruktur dasar

Batas kepercayaan pengguna (domain, media sosial, dll)

Setelah menentukan permukaan serangan, bangunlah sistem pertahanan berlapis lima:

Pencegahan sebelum kejadian: menerapkan proses standar, ketat dalam pelaksanaan untuk meminimalkan kemungkinan diretas.

Mitigasi kerugian: saat pencegahan gagal, segera kendalikan skala kerugian.

Penghentian darurat: di bawah tekanan tinggi, tidak ada yang bisa membuat keputusan optimal. Segera aktifkan saklar penghentian darurat saat serangan terdeteksi, membekukan aset untuk mencegah kerugian lebih besar, sekaligus memberi waktu tim untuk analisis tenang.

Pengembalian kendali: jika modul jahat atau komponen yang disusupi sudah tidak terkendali, langsung lepaskan dan ganti.

Pemulihan pasca kejadian: merebut kembali aset yang dicuri. Dengan kerjasama lembaga terkait sebelumnya, bisa membekukan dana, membatalkan transaksi, dan membantu investigasi jejak.

/ 03 Prinsip Inti

Prinsip-prinsip berikut membimbing penerapan seluruh sistem pertahanan berlapis ini.

Penguatan pertahanan dengan AI mutakhir

Manfaatkan model besar terbaru untuk memindai celah kode dan konfigurasi, melakukan pengujian penetrasi red-blue secara aktif di seluruh permukaan serangan: cari celah frontend, verifikasi apakah bisa masuk ke backend. Penyerang pasti akan melakukan hal ini; pertahanan juga bisa mendeteksi celah yang sama melalui pemindaian. Gunakan alat seperti pashov, nemesis, serta platform keamanan AI seperti Cantina (Apex), Zellic (V12) untuk menyaring kode secara cepat sebelum audit resmi.

Waktu dan proses sebagai pertahanan

Setiap operasi berisiko harus dirancang dengan proses multi langkah + mekanisme kunci waktu. Jika terdeteksi anomali, sisakan waktu cukup untuk intervensi manusia dan pembekuan aset. Dulu, industri menolak penggunaan kunci waktu dan hak akses multi langkah karena dianggap merepotkan dan mengurangi efisiensi tim. Tapi sekarang situasinya berbeda: AI dapat secara otomatis melewati proses manual ini di belakang layar, sehingga protokol yang mengandalkan operasi sederhana sudah tidak relevan lagi.

Desain variabel tak berubah

Smart contract dapat dilindungi dengan mendefinisikan variabel utama yang tidak boleh dilanggar: jika aturan ini dilanggar, logika protokol secara keseluruhan dianggap gagal. @openforage mendesain variabel utama berdasarkan kemampuan pembayaran: aset di vault + aset yang sudah dideploy ≥ piutang yang belum dibayar. Protokol hanya perlu menetapkan beberapa variabel kunci; jangan hardcode banyak pengecekan di setiap fungsi, karena akan membuat kode menjadi rumit dan sulit dipelihara.

Keseimbangan kekuasaan

Banyak serangan hacker berasal dari kebocoran kunci pribadi dompet / pelanggaran multi-signature. Pengaturan hak akses yang tepat harus memastikan: meskipun multi-signature gagal, kerugian bisa segera dihentikan, dan protokol diubah ke kondisi stabil yang bisa dikendalikan melalui pengambilan keputusan oleh governance. Fokus utama adalah mengelola dua aspek kekuasaan:

Hak governance: mengendalikan semua keputusan utama protokol

Hak darurat: bertanggung jawab memulihkan ketertiban stabil yang bisa diatur, tanpa mengganggu atau menggantikan sistem governance asli

Antisipasi pasti terjadi masalah

Harus ada pemahaman dasar: tidak peduli seberapa profesional tim, serangan pasti akan terjadi. Smart contract atau komponen tergantung bisa gagal, tim bisa diserang social engineering, dan pembaruan versi bisa memperkenalkan celah baru. Dengan pola pikir ini, pengendalian limit dan shutdown menjadi langkah wajib: membatasi kerugian satu kali dalam 5-10%, membekukan aset, lalu merancang solusi secara tenang. Dalam situasi kritis, hindari keputusan terburu-buru.

Rencana darurat harus segera diterapkan

Waktu terbaik untuk merespons serangan adalah sebelum kejadian. Formalisasi dan dokumentasikan prosedur darurat, latih tim secara berulang, agar saat kejadian tidak panik dan kacau. Era AI menuntut: alat dan algoritma yang mampu mengumpulkan semua informasi secara cepat, menghasilkan ringkasan singkat dan detail lengkap, serta mengirimkannya ke pengambil keputusan utama secara bersamaan.

Kelangsungan hidup adalah tujuan utama

Tidak perlu mengejar kesempurnaan mutlak, tetapi harus memastikan bertahan hidup. Tidak ada sistem yang benar-benar aman sejak awal; hanya melalui evaluasi ulang dan iterasi terus-menerus, belajar dari pengalaman, kita bisa membangun arsitektur yang anti-fragile. Tidak pernah diserang hacker tidak berarti aman secara alami; saat paling santai dan lengah, biasanya justru risiko tertinggi.

/ 04 Sistem Pencegahan Sebelum Kejadian

Desain smart contract

Setelah mendefinisikan variabel utama, tuliskan ke dalam logika verifikasi saat runtime, dan selektif dalam memilih aturan yang benar-benar perlu dipastikan. Disarankan mengikuti pola desain FREI-PI (Fungsi - Dampak Eksekusi - Interaksi Eksternal - Variabel Tidak Boleh Dilanggar): semua fungsi yang melibatkan perubahan aset harus memverifikasi variabel utama yang harus dilindungi sebelum selesai dieksekusi. Banyak serangan yang berhasil mencuri melalui celah seperti arbitrase flash loan, manipulasi oracle, dan pelanggaran piutang antar fungsi, bisa dicegah dengan verifikasi variabel di akhir fungsi.

Pengujian sistem yang lengkap

Pengujian fuzzing dengan status: buatlah serangkaian panggilan acak ke semua antarmuka protokol, setiap langkah verifikasi variabel utama. Sebagian besar serangan di blockchain adalah serangan kombinasi multi transaksi, dan fuzzing adalah satu-satunya cara andal untuk menemukan celah sebelum penyerang melakukannya. Buat pengujian variabel utama yang memastikan aturan selalu terpenuhi dalam semua rangkaian panggilan acak; kombinasikan dengan verifikasi formal untuk membuktikan aturan ini berlaku di semua keadaan yang dapat dicapai. Variabel utama protokol harus diverifikasi secara formal.

Oracle dan dependensi eksternal

Kerumitan adalah musuh terbesar keamanan. Semakin banyak lapisan dependensi eksternal, semakin besar permukaan serangan. Jika Anda mengembangkan komponen dasar, berikan pilihan ke pengguna dalam mempercayai sumbernya; jika tidak bisa dihilangkan, lakukan redundansi multi-sumber dan desentralisasi, hindari single point of failure yang bisa merusak seluruh protokol. Audit harus mencakup skenario kegagalan oracle dan dependensi eksternal, serta atur batas kuota dan limitasi, sehingga meskipun terjadi gangguan, kerugian bisa dikendalikan. Contoh serangan terbaru KelpDAO menunjukkan hal ini: proyek menggunakan konfigurasi LayerZero default requiredDVNCount=1, yang tidak termasuk dalam scope audit; akhirnya, yang diretas adalah infrastruktur off-chain di luar audit.

Pemetaan lengkap permukaan serangan

Daftar lengkap vektor serangan yang sudah diketahui di DeFi harus diidentifikasi. Cocokkan satu per satu, tentukan apakah sesuai dengan protokol Anda, dan terapkan langkah pengendalian yang sesuai. Bangun kemampuan red-blue team internal, dan paksa agen AI untuk secara aktif mencari celah protokol; ini sudah menjadi standar minimum industri saat ini.

Hak darurat bawaan

Dalam model governance voting, kekuasaan awalnya terkonsentrasi di tim multi-signature, lalu secara bertahap didistribusikan. Bahkan jika token tersebar luas, hak delegasi biasanya terkonsentrasi di beberapa dompet, dan dalam kondisi ekstrem, hanya satu alamat kunci. Jika dompet ini diretas, protokol langsung runtuh. Disarankan menempatkan dompet penjaga, dengan hak akses yang sangat terbatas: hanya bisa menangguhkan protokol; dalam kondisi ekstrem, harus mencapai ambang 4/7 untuk mengalihkan hak delegasi yang disusupi ke dompet cadangan yang sudah dipersiapkan. Penjaga tidak berhak menginisiasi atau mengusulkan proposal governance.

Dengan cara ini, protokol memiliki lapisan darurat mandiri: mampu memulihkan kondisi stabil yang bisa dikendalikan, tanpa menggantikan sistem governance asli. Kemungkinan penjaga yang terinfeksi bersamaan lebih kecil karena distribusi alamat yang tersebar. Setelah sistem governance matang dan hak terdesentralisasi penuh, lapisan darurat ini bisa secara bertahap dihapus.

Arsitektur dompet dan kunci

Multi-signature wallet adalah standar, minimal 4/7, dan tidak ada satu orang pun yang menguasai semua 7 kunci secara sendiri. Secara rutin, rotasi alamat penandatangan secara diam-diam. Kunci penandatangan tidak boleh digunakan di perangkat yang sama untuk browsing, email, atau login software kantor; jika demikian, perangkat tersebut sudah terinfeksi. Gunakan beberapa wallet multi-signature yang berbeda, masing-masing dengan fungsi tertentu. Setidaknya satu wallet pasti akan diretas total, jadi buat rencana cadangan berdasarkan asumsi ini. Tidak ada individu yang, dalam keadaan ekstrem seperti ancaman atau pemaksaan, bisa menguasai seluruh protokol secara sendiri.

Perencanaan bounty celah keamanan

Saya setuju dengan pandangan Nascent tentang bounty celah keamanan. Protokol dengan dana besar harus menetapkan bounty yang proporsional dengan TVL protokol; bahkan yang kecil harus menawarkan bounty besar (minimal tujuh digit). Jika menghadapi penyerang tingkat nasional, negosiasi bounty biasanya tidak efektif; tetapi bisa dibuat program perlindungan white-hat: mengizinkan white-hat mengamankan dana yang dicuri dan mengambil sebagian sebagai imbalan, yang pada dasarnya ditanggung oleh deposan.

Memilih lembaga audit berkualitas

Saya sebelumnya berpikir bahwa seiring meningkatnya kemampuan model besar, nilai tambah audit tradisional akan menurun, tetapi pandangan ini saya revisi:

Lembaga audit terbaik selalu berada di garis depan. Jika protokol menggunakan desain inovatif, kode dan celah potensial tidak ada dalam data pelatihan model, kekuatan komputasi saja belum terbukti mampu menemukan celah logika baru. Tidak ada yang mau menjadi korban pertama dari metode serangan baru.

Hal yang sering diabaikan: lembaga audit akan membackup reputasi industri mereka sendiri. Setelah mengeluarkan laporan audit dan protokol diretas, mereka punya motivasi besar untuk membantu analisis dan membatasi kerugian. Menjalin kerjasama jangka panjang dengan tim keamanan profesional adalah aset berharga.

Keamanan operasional yang diterapkan

Masukkan keamanan operasional ke dalam indikator penilaian utama. Rutin lakukan latihan phishing; sewa tim red team eksternal terpercaya untuk menguji social engineering terhadap tim. Siapkan hardware wallet dan perangkat cadangan yang tidak digunakan, agar bisa mengganti seluruh konfigurasi multi-signature secara lengkap, menghindari kebutuhan pembelian mendadak saat kejadian.

/ 05 Mitigasi Kerugian

Batas kerugian dari keluar dana

Semua jalur keluar aset harus diberi batas kuota; potensi kerugian maksimal dari penyalahgunaan jalur tersebut harus dibatasi. Secara sederhana: fungsi mint tanpa batas di satu blok sama dengan memberi cek kosong untuk pencetakan tak terbatas; fungsi penarikan tanpa batas mingguan sama dengan mengabaikan celah manipulasi saldo aset. Tetapkan batas kuota yang ketat untuk setiap jalur keluar dana, dan cari keseimbangan antara kerugian maksimal yang dapat diterima dan pengalaman pengguna. Jika pertahanan gagal, batas ini mencegah protokol menjadi nol.

Daftar putih dan daftar hitam

Sebagian besar protokol memiliki daftar tersembunyi dari antarmuka yang bisa dipanggil, aset yang bisa diperdagangkan, dan alamat yang bisa diberi otorisasi, serta batasan operasional yang dilarang. Bahkan jika aturan bersifat tersembunyi, harus didokumentasikan secara tertulis. Setelah daftar putih dan hitam jelas, bisa diterapkan mekanisme perubahan hak akses dua langkah, menambah hambatan bagi serangan. Penyerang harus mengubah daftar putih / menghapus batas hitam, lalu melakukan operasi jahat. Dengan mekanisme ganda ini, vektor serangan baru harus melewati dua lapis pengamanan: pertama melalui proses persetujuan (integrasi / peluncuran), lalu melewati larangan keamanan (peninjauan risiko).

/ 06 Pengambilalihan Kendali

Monitoring otomatis algoritmik

Saklar penghentian darurat yang tidak diawasi sama saja tidak berguna. Bangun sistem monitoring off-chain, pantau variabel utama secara real-time 24/7, dan otomatis tingkatkan peringatan jika terdeteksi anomali. Sistem peringatan harus langsung terhubung ke tim multi-signature penjaga, lengkap dengan konteks lengkap, mendukung pengambilan keputusan dalam hitungan menit.

Hentikan dulu, baru analisis

Saat serangan terjadi, prioritas utama adalah menghentikan kerusakan, jangan membuat keputusan terburu-buru saat waktu kritis. Untuk protokol, ini berarti aktifkan saklar penghentian darurat (tampilan di front-end): satu transaksi cukup untuk menghentikan semua jalur pergerakan aset. Siapkan skrip “hentikan semua sekaligus” yang otomatis menelusuri semua modul yang bisa dihentikan, dan eksekusi secara atomik. Hak governance sendiri tidak bisa dihentikan; jika hak ini bisa dihentikan, dan penjaga bisa menonaktifkan kontrak governance, maka proses pemulihan akan terkunci permanen.

Aktifkan ruang operasi darurat

Setelah membekukan aset dan menghentikan kerugian, kumpulkan tim inti yang sudah disepakati sebelumnya, buat saluran komunikasi khusus. Batasi akses informasi agar tidak bocor ke penyerang, publik, atau pihak yang mencari keuntungan. Latih peran-peran tertentu dan lakukan simulasi:

Pengambil keputusan: mengatur strategi secara keseluruhan

Eksekutor operasional: menjalankan skrip pertahanan dan penghentian, mengikuti instruksi pengambil keputusan

Penyusun ulang jejak serangan: mengembalikan jalur serangan, cari akar masalah

Penghubung eksternal: berkoordinasi dengan mitra utama

Perekam kejadian: dokumentasikan seluruh perkembangan, keputusan penting, dan garis waktu

Semua anggota harus paham peran dan latihan sebelumnya, sehingga saat kejadian mereka mengikuti prosedur, bukan panik dan kacau.

Prediksi risiko berantai dan efek samping

Asumsikan penyerang memiliki kemampuan tingkat tinggi: celah pertama mungkin hanya sebagai umpan, atau sebagai langkah awal serangan berantai. Serangan ini juga