Panduan Keamanan DeFi: Bagaimana Melindungi Diri Secara Efektif dari Serangan Peretas di Era AI?

Tulisan: sysls

Kompilasi: AididiaoJP, Foresight News

Tautan asli:

Pernyataan: Artikel ini adalah konten yang direproduksi, pembaca dapat memperoleh informasi lebih lanjut melalui tautan asli. Jika penulis memiliki keberatan terhadap bentuk reproduksi ini, silakan hubungi kami, dan kami akan melakukan modifikasi sesuai permintaan penulis. Reproduksi ini hanya untuk berbagi informasi, tidak merupakan saran investasi apa pun, dan tidak mewakili pandangan dan posisi Wu.

Pendahuluan

Setelah memahami banyak kejadian serangan hacker terhadap protokol DeFi, saya menjadi takut terhadap “aktor negara”. Mereka sangat terampil, memiliki sumber daya yang cukup, dan bermain permainan jangka panjang; para penjahat super ini fokus menyisir setiap sudut protokol dan infrastruktur Anda untuk mencari celah, sementara tim protokol biasa teralihkan perhatian pada enam atau tujuh bidang bisnis yang berbeda.

Saya tidak mengklaim sebagai ahli keamanan, tetapi saya pernah memimpin tim dalam lingkungan berisiko tinggi (termasuk militer dan bidang keuangan dengan dana besar), dan berpengalaman dalam berpikir serta merancang rencana darurat.

Saya sungguh percaya, hanya orang yang paranoid yang bisa bertahan. Tidak ada tim yang mulai dengan pemikiran “Saya akan bersikap acuh tak acuh dan santai terhadap keamanan”; namun serangan hacker tetap terjadi. Kita harus melakukan lebih baik.

AI berarti kali ini benar-benar berbeda

(Sumber data:

Serangan hacker tidak jarang terjadi, tetapi frekuensinya jelas meningkat. Kuartal pertama 2026 adalah kuartal dengan jumlah serangan hacker DeFi terbanyak yang tercatat, dan kuartal kedua baru saja dimulai, tetapi sudah berpotensi memecahkan rekor kuartal sebelumnya.

Asumsi utama saya adalah: AI secara besar-besaran menurunkan biaya pencarian celah dan secara signifikan memperluas permukaan serangan. Manusia membutuhkan beberapa minggu untuk menyisir konfigurasi seratus protokol dan mencari kesalahan konfigurasi; sedangkan model dasar terbaru hanya membutuhkan beberapa jam untuk menyelesaikan.

Ini harusnya benar-benar mengubah cara kita berpikir dan merespons serangan hacker. Protokol lama yang terbiasa mengandalkan langkah-langkah keamanan sebelum AI menjadi kuat, semakin menghadapi risiko “dihancurkan dalam sekejap”.

Berpikir dari permukaan dan hierarki

(Sumber data:

Permukaan serangan hacker sebenarnya dapat dikategorikan menjadi tiga: tim protokol, kontrak pintar dan infrastruktur, serta batas kepercayaan pengguna (DSN, media sosial, dll).

Setelah mengidentifikasi permukaan ini, tambahkan lapisan pertahanan:

Pencegahan: jika ditegakkan secara ketat, dapat meminimalkan probabilitas dimanfaatkan.

Mitigasi: saat pencegahan gagal, membatasi tingkat kerusakan.

Jeda: tidak ada yang bisa membuat keputusan terbaik di bawah tekanan besar. Setelah mengonfirmasi serangan, segera aktifkan saklar pemutus total. Pembekuan dapat mencegah kerugian lebih lanjut dan memberi ruang berpikir…

Kembalikan kendali: jika Anda kehilangan kendali atas komponen beracun atau yang telah diretas, buang dan ganti mereka.

Pulihkan: kembalikan apa yang hilang. Rencanakan sebelumnya untuk menghubungi mitra yang dapat membekukan dana, membatalkan transaksi, dan membantu penyelidikan.

Prinsip

Prinsip-prinsip ini membimbing tindakan spesifik kita dalam menerapkan lapisan pertahanan.

Penggunaan AI mutakhir secara besar-besaran

Gunakan model AI mutakhir untuk memindai kode dan konfigurasi Anda, mencari celah, dan melakukan pengujian red team secara luas: coba cari celah di front-end dan lihat apakah mereka bisa mencapai back-end. Penyerang melakukan hal yang sama. Apa yang bisa Anda temukan melalui pemindaian defensif, mereka sudah temukan melalui pemindaian ofensif.

Gunakan skill seperti pashov, nemesis, serta platform AI seperti Cantina (Apex) dan Zellic (V12), untuk melakukan pemindaian cepat terhadap kode sebelum audit lengkap.

Waktu dan gesekan adalah pertahanan yang baik

Tambahkan langkah-langkah dan kunci waktu pada operasi yang berpotensi merusak. Anda perlu waktu cukup untuk intervensi dan membekukan saat menemukan anomali.

Alasan sebelumnya menentang pengaturan kunci waktu dan langkah berlapis adalah karena akan menimbulkan gesekan bagi tim protokol. Sekarang, Anda tidak perlu terlalu khawatir: AI dapat dengan mudah melewati gesekan ini di belakang layar.

Invarians

Kontrak pintar dapat membangun pertahanan dengan menuliskan “fakta” yang tidak dapat diubah: jika fakta ini dilanggar, logika protokol akan runtuh.

Biasanya, Anda hanya memiliki beberapa invarians. Tingkatkan ke kode secara hati-hati; menerapkan banyak invarians di setiap fungsi menjadi sulit dikelola.

Keseimbangan kekuasaan

Banyak serangan berasal dari dompet yang diretas. Anda perlu konfigurasi: bahkan jika multi-sig diretas, dapat dengan cepat membatasi kerusakan dan mengembalikan protokol ke keadaan yang dapat dikelola.

Ini membutuhkan keseimbangan antara Tata Kelola (pengambilan keputusan) dan Penyelamatan (kemampuan mengembalikan stabilitas yang dapat dikelola, tanpa mengganti atau membatalkan tata kelola itu sendiri).

Selalu ada masalah

Mulai dari awal, asumsikan: tidak peduli seberapa pintar Anda, Anda akan diretas. Kontrak pintar atau dependensi Anda mungkin gagal. Anda bisa menjadi korban serangan rekayasa sosial, dan pembaruan baru bisa memperkenalkan celah yang tidak terduga.

Dengan berpikir seperti ini, pembatasan kerusakan melalui limitasi laju dan pemutus sirkuit protokol akan menjadi teman terbaik Anda. Batasi kerusakan pada 5-10%, lalu beku, dan rencanakan respons Anda. Tidak ada yang bisa membuat keputusan terbaik di tengah serangan besar.

Waktu terbaik untuk perencanaan adalah sekarang

Pikirkan rencana respons Anda sebelum diretas. Sebisa mungkin, kodekan prosesnya dan latih tim Anda, agar saat serangan terjadi, Anda tidak panik. Di era AI, ini berarti memiliki kemampuan dan algoritma yang mampu menyajikan informasi dalam jumlah besar secepat mungkin, dan membagikannya dalam ringkasan serta format panjang ke inti tim Anda.

Anda tidak perlu sempurna, tetapi Anda harus bertahan. Tidak ada sistem yang sempurna dari hari pertama; melalui iterasi, Anda akan menjadi lebih tahan banting dengan belajar dari pengalaman.

Bukti bahwa Anda tidak diretas tidak berarti Anda tidak akan diretas. Titik kenyamanan terbesar seringkali adalah titik bahaya terbesar.

Langkah-langkah pencegahan

Desain kontrak pintar

Setelah menetapkan invarians, tingkatkan menjadi pemeriksaan saat runtime. Pikirkan dengan cermat invarians mana yang benar-benar layak ditegakkan.

Ini adalah mode FREI-PI (Function Requirements, Effects, Interactions, Protocol Invariants): di setiap akhir fungsi yang menyentuh nilai, verifikasi kembali invarians mahkota yang dijanjikan fungsi tersebut. Banyak serangan seperti CEI (Checks-Effects-Interactions) (serangan sandwich flashloan, likuidasi dengan oracle, pengurasan kemampuan bayar antar fungsi) dapat ditangkap oleh pemeriksaan invarians di akhir fungsi.

Pengujian yang baik

Fuzzing keadaan (Stateful fuzzing) akan menghasilkan urutan panggilan acak terhadap permukaan lengkap protokol dan mengassert invarians di setiap langkah. Sebagian besar celah di lingkungan produksi adalah transaksi multi, dan fuzzing keadaan hampir satu-satunya cara yang andal untuk menemukan jalur ini sebelum penyerang.

Gunakan pengujian invarians untuk memastikan properti berlaku di semua urutan panggilan yang dihasilkan fuzzing. Dikombinasikan dengan verifikasi formal, ini dapat membuktikan properti berlaku di semua keadaan yang dapat dicapai. Invarians mahkota Anda harus menerima perlakuan ini.

Oracle dan dependensi

Kompleksitas adalah musuh keamanan. Setiap dependensi eksternal memperluas permukaan serangan. Saat merancang primitive, berikan pilihan kepada pengguna tentang siapa dan apa yang mereka percayai. Jika tidak bisa dihilangkan, lakukan diversifikasi, sehingga tidak ada satu titik kegagalan tunggal yang bisa menghancurkan protokol Anda.

Perluas cakupan audit ke simulasi kegagalan oracle dan dependensi, dan berikan batasan laju terhadap potensi bencana jika mereka gagal.

Contoh terbaru adalah celah KelpDAO: mereka mengadopsi konfigurasi LayerZero default requiredDVNCount=1, yang berada di luar cakupan audit mereka. Akhirnya, yang diretas adalah infrastruktur off-chain di luar cakupan audit.

Serangan permukaan

Sebagian besar serangan permukaan di DeFi sudah terdaftar. Periksa satu per satu kategori, tanyakan apakah itu berlaku untuk protokol Anda, lalu terapkan kontrol terhadap vektor serangan tersebut. Latih skill red team, agar AI cerdas Anda aktif mencari celah di protokol Anda; ini sudah menjadi keharusan saat ini.

Memiliki kemampuan rescue asli

Dalam tata kelola berbasis voting, kekuasaan awal terkonsentrasi di multi-sig tim, dan butuh waktu untuk menyebar. Bahkan jika distribusi token luas, delegasi seringkali mengkonsentrasikan otoritas ke beberapa dompet (bahkan terkadang satu). Ketika dompet ini diretas, permainan selesai.

Deploy “dompet penjaga”, berikan otorisasi yang sangat terbatas: mereka hanya bisa menjeda protokol, dan di atas ambang >=4/7, dapat secara ekstrem mengganti delegasi yang rusak ke dompet pengganti yang sudah ditentukan. Penjaga tidak pernah bisa menjalankan proposal tata kelola.

Dengan begitu, Anda memiliki lapisan penyelamatan yang selalu bisa mengembalikan stabilitas tata kelola, tanpa memiliki kekuasaan untuk membatalkan tata kelola itu sendiri. Kemungkinan kehilangan >=4/7 penjaga sangat kecil (mengacu pada keberagaman pemilik), dan saat tata kelola matang dan tersebar, lapisan ini bisa secara bertahap dihapus.

Dompet dan topologi kunci

Multi-sig adalah keharusan, minimal 4/7. Tidak ada satu orang pun yang mengendalikan semua 7 kunci. Rotasi signer secara rutin dan diam-diam.

Kunci tidak pernah berinteraksi dengan perangkat yang digunakan sehari-hari. Jika Anda menggunakan perangkat tanda tangan untuk browsing internet, email, atau Slack, anggap signer tersebut sudah diretas.

Miliki beberapa multi-sig, masing-masing untuk tujuan berbeda. Asumsikan minimal satu multi-sig lengkap akan diretas, dan rencanakan dari sana. Tidak ada satu orang pun yang harus memiliki kekuasaan cukup untuk meretas protokol, bahkan dalam skenario ekstrem (penculikan, penyiksaan, dll).

Pertimbangkan bounty

Jika Anda punya sumber daya, menetapkan bounty kerentanan tinggi relatif terhadap TVL protokol sangat berharga; bahkan untuk protokol kecil, bounty harus sebaiknya murah hati (misalnya minimal 7-8 digit angka).

Jika Anda menghadapi serangan dari aktor negara, mereka mungkin tidak bernegosiasi, tetapi Anda tetap bisa ikut serta dalam program “white hat safe harbor”, memberi wewenang kepada white hat untuk bertindak melindungi dana dan mengambil persentase tertentu dari bounty sebagai biaya (sebenarnya dibayar oleh deposan).

Temukan auditor yang baik

Saya pernah menulis, bahwa seiring model bahasa besar menjadi lebih pintar, nilai tambah mempekerjakan auditor menurun. Saya tetap percaya, tetapi pandangan saya sedikit berubah.

Pertama, auditor yang baik akan selalu berada di garis depan. Jika Anda mengerjakan sesuatu yang inovatif, kode dan celahnya mungkin tidak ada dalam data pelatihan mereka, dan menambah token saja belum terbukti efektif menemukan celah baru. Anda tidak ingin menjadi sampel pertama dari celah unik.

Kedua, manfaat yang kurang dihargai adalah: mempekerjakan auditor adalah menggunakan reputasi mereka sebagai jaminan. Jika mereka menandatangani dan Anda diretas, mereka akan sangat termotivasi membantu. Menjalin hubungan dengan profesional keamanan adalah keuntungan besar.

Praktik keamanan operasional

Anggap keamanan operasional sebagai indikator keberhasilan. Latihan phishing; sewa tim red team (yang terpercaya) untuk melakukan serangan rekayasa sosial terhadap tim. Siapkan hardware wallet dan perangkat cadangan, agar saat D-day, Anda tidak panik membelinya.

Langkah mitigasi

Jalur keluar Anda adalah batas kerugian

Setiap jalur untuk mengeluarkan nilai dari protokol harus memiliki batas maksimum kerugian teoretis saat jalur tersebut disalahgunakan. Singkatnya: fungsi mint tanpa batas per blok adalah cek kosong untuk celah pencetakan tak terbatas. Fungsi redeem tanpa batas mingguan adalah cek kosong untuk kerusakan saldo aset.

Pertimbangkan secara hati-hati angka pasti untuk jalur keluar Anda. Angka ini harus menyeimbangkan antara kerusakan maksimal yang bisa Anda tanggung dan kebutuhan UX ekstrem pengguna. Jika terjadi masalah, ini adalah hal yang bisa menyelamatkan Anda dari kehancuran total.

Daftar putih (dan daftar hitam)

Sebagian besar protokol memiliki daftar yang bisa dipanggil, diperdagangkan, atau diterima, serta daftar yang tidak boleh dilakukan pengguna. Bahkan jika implisit, ini adalah batas kepercayaan yang harus diformalisasi.

Formalitas ini memungkinkan Anda mengatur setter dua tahap, menciptakan gesekan yang berarti. Penyerang harus menambahkan ke daftar putih (dan/atau menghapus dari daftar hitam) terlebih dahulu, baru bisa bertindak. Memiliki keduanya berarti penyerang harus menembus dua proses sekaligus: pasar harus diizinkan (integrasi/listing), dan tindakan tersebut tidak boleh dilarang (peninjauan keamanan).

Kembalikan kendali

Monitoring algoritmik

Tanpa pengawasan manusia, saklar pemutus tidak berguna. Pengawas off-chain harus terus memantau invarians, dan jika ada masalah, tingkatkan alarm secara algoritmik. Jalur akhir harus sampai ke manusia di multi-sig penjaga, dan berikan konteks yang cukup agar mereka bisa membuat keputusan dalam beberapa menit.

Rekalibrasi

Jika Anda terkena serangan, hentikan perdarahan terlebih dahulu, bukan membuat keputusan dalam hitungan mundur. Untuk protokol, ini adalah saklar pemutus (juga harus terlihat di UI): sebuah tombol yang bisa menghentikan semua jalur pergerakan nilai dalam satu transaksi. Siapkan skrip “jeda semua” yang dapat mengenumerasi semua komponen yang bisa dijeda dan menjeda secara atom.

Hanya tata kelola yang bisa membatalkan jeda, jadi saklar pemutus tidak boleh menjeda kontrak tata kelola itu sendiri. Jika lapisan penjaga bisa menjeda kontrak tata kelola, penjaga yang diretas bisa mengunci proses pemulihan secara permanen.

Aktifkan ruang perang Anda

Bekukan, hentikan perdarahan, lalu ajak semua orang yang Anda percaya (kelompok kecil, yang sudah disepakati sebelumnya) ke saluran komunikasi. Anda ingin menjaga agar informasi tetap kecil agar tidak bocor ke penyerang, publik, atau pelaku arbitrase jahat.

Lakukan role-playing terhadap peran yang dibutuhkan tim: satu pengambil keputusan; satu operator yang mahir menjalankan skrip pertahanan dan jeda; satu orang yang merekonstruksi celah dan mengidentifikasi akar masalah; satu orang yang berkomunikasi dengan pihak terkait; satu orang yang mencatat pengamatan, kejadian, dan garis waktu keputusan.

Ketika semua orang tahu peran mereka dan sudah berlatih, Anda bisa merespons sesuai prosedur, bukan panik di saat kritis.

Pertimbangkan reaksi berantai

Asumsikan penyerang sangat berpengalaman. Celah pertama mungkin adalah umpan, atau benih untuk serangan lanjutan. Serangan bisa berupa memancing Anda melakukan hal yang salah, sehingga memicu celah nyata.

Jeda harus melalui penelitian matang, sepenuhnya terkendali, dan tidak bisa dimanfaatkan. Jeda harus berupa pembekuan seluruh protokol: Anda tidak ingin terjebak menjeda satu komponen dan membuka celah lain. Setelah menemukan akar dan vektor serangan, telusuri permukaan yang terbuka dan reaksi berantai, lalu perbaiki semuanya sekaligus.

Rotasi pengganti yang sudah dijanjikan

Hanya dengan mengetahui pengganti sebelumnya, rotasi bisa aman. Saya suka ide daftar pengganti yang sudah dijanjikan: ini membuat penyerang lebih sulit mengganti penjaga/tata kelola yang sehat dengan yang diretas. Ini sejalan dengan konsep “daftar putih/daftar hitam” dalam langkah mitigasi.

Daftarkan satu alamat pengganti untuk setiap peran penting. Satu-satunya instrumen rotasi yang aman adalah “Ganti peran X dengan penggantinya”. Ini juga memungkinkan Anda menilai pengganti secara perlahan selama masa damai: lakukan due diligence, temui orang yang mengajukan permintaan, dan lakukan proses.

Uji dengan hati-hati sebelum upgrade

Setelah Anda mengidentifikasi akar dan ruang lingkup dampak, Anda harus merilis upgrade. Ini mungkin adalah kode paling berbahaya yang akan Anda deploy: ditulis di bawah tekanan, menargetkan penyerang yang sudah terbukti mengetahui protokol Anda dan menemukan celah.

Tunda rilis tanpa pengujian yang cukup. Jika tidak ada waktu untuk audit, manfaatkan hubungan white hat, atau atur kompetisi 48 jam sebelum deployment untuk mendapatkan review adversarial yang segar.

Pemulihan

Tindakan cepat

Dana yang dicuri memiliki paruh waktu; begitu celah dieksploitasi, dana tersebut akan cepat masuk ke jalur pencucian uang. Siapkan Chainalysis dan penyedia analisis on-chain lainnya untuk memantau alamat penyerang secara real-time, dan saat mereka melompat antar chain, beri tahu bursa untuk menandai dan melacak.

Persiapkan daftar pihak ketiga yang bisa membekukan pesan lintas chain atau deposit dalam transit, termasuk bursa, pengelola jembatan lintas chain, dan custodial.

Negosiasi

Ya, ini menyakitkan, tetapi Anda tetap harus mencoba bernegosiasi dengan penyerang. Banyak hal dalam hidup bisa diselesaikan melalui negosiasi. Tawarkan bounty white hat dengan batas waktu; umumkan bahwa jika dana dikembalikan penuh sebelum batas waktu, tidak akan ada tindakan hukum.

Jika menghadapi aktor negara, keberuntungan mungkin tipis, tetapi Anda bisa mengandalkan program “white hat safe harbor”, memberi wewenang kepada white hat untuk bertindak melindungi dana dan mengambil persentase tertentu dari bounty sebagai biaya (sebenarnya dibayar oleh deposan).

Temukan auditor yang baik

Saya pernah menulis, bahwa seiring model bahasa besar menjadi lebih pintar, nilai tambah mempekerjakan auditor menurun. Saya tetap percaya, tetapi pandangan saya sedikit berubah.

Pertama, auditor yang baik akan selalu berada di garis depan. Jika Anda mengerjakan sesuatu yang inovatif, kode dan celahnya mungkin tidak ada dalam data pelatihan mereka, dan menambah token saja belum terbukti efektif menemukan celah baru. Anda tidak ingin menjadi sampel pertama dari celah unik.

Kedua, manfaat yang kurang dihargai adalah: mempekerjakan auditor adalah menggunakan reputasi mereka sebagai jaminan. Jika mereka menandatangani dan Anda diretas, mereka akan sangat termotivasi membantu. Menjalin hubungan dengan profesional keamanan adalah keuntungan besar.

Praktik keamanan operasional

Anggap keamanan operasional sebagai indikator keberhasilan. Latihan phishing; sewa tim red team (yang terpercaya) untuk melakukan serangan rekayasa sosial terhadap tim. Siapkan hardware wallet dan perangkat cadangan, agar saat D-day, Anda tidak panik membelinya.

Langkah mitigasi

Jalur keluar Anda adalah batas kerugian

Setiap jalur untuk mengeluarkan nilai dari protokol harus memiliki batas maksimum kerugian teoretis saat jalur tersebut disalahgunakan. Singkatnya: fungsi pencetakan tanpa batas per blok adalah cek kosong untuk pencetakan tak terbatas. Fungsi penebusan tanpa batas mingguan adalah cek kosong untuk kerusakan saldo aset.

Pertimbangkan secara hati-hati angka pasti untuk jalur keluar Anda. Angka ini harus menyeimbangkan antara kerusakan maksimal yang bisa Anda tanggung dan kebutuhan UX ekstrem pengguna. Jika terjadi masalah, ini adalah hal yang bisa menyelamatkan Anda dari kehancuran total.

Daftar putih (dan daftar hitam)

Sebagian besar protokol memiliki daftar yang bisa dipanggil, diperdagangkan, atau diterima, serta daftar yang tidak boleh dilakukan pengguna. Bahkan jika implisit, ini adalah batas kepercayaan yang harus diformalisasi.

Formalitas ini memungkinkan Anda mengatur setter dua tahap, menciptakan gesekan yang berarti. Penyerang harus menambahkan ke daftar putih (dan/atau menghapus dari daftar hitam) terlebih dahulu, baru bisa bertindak. Memiliki keduanya berarti penyerang harus menembus dua proses sekaligus: pasar harus diizinkan (termasuk listing), dan tindakan tersebut tidak boleh dilarang (peninjauan keamanan).

Kembalikan kendali

Monitoring algoritmik

Tanpa pengawasan manusia, saklar pemutus tidak berguna. Pengawas off-chain harus terus memantau invarians, dan jika ada masalah, tingkatkan alarm secara algoritmik. Jalur akhir harus sampai ke manusia di multi-sig penjaga, dan berikan konteks yang cukup agar mereka bisa membuat keputusan dalam beberapa menit.

Rekalibrasi

Jika Anda terkena serangan, hentikan perdarahan terlebih dahulu, bukan membuat keputusan dalam hitungan mundur. Untuk protokol, ini adalah saklar pemutus (juga harus terlihat di UI): sebuah tombol yang bisa menghentikan semua jalur pergerakan nilai dalam satu transaksi. Siapkan skrip “jeda semua” yang dapat mengenumerasi semua komponen yang bisa dijeda dan menjeda secara atom.

Hanya tata kelola yang bisa membatalkan jeda, jadi saklar pemutus tidak boleh menjeda kontrak tata kelola itu sendiri. Jika lapisan penjaga bisa menjeda kontrak tata kelola, penjaga yang diretas bisa mengunci proses pemulihan secara permanen.

Aktifkan ruang perang Anda

Bekukan, hentikan perdarahan, lalu ajak semua orang yang Anda percaya (kelompok kecil, yang sudah disepakati sebelumnya) ke saluran komunikasi. Anda ingin menjaga agar informasi tetap kecil agar tidak bocor ke penyerang, publik, atau pelaku arbitrase jahat.

Lakukan role-playing terhadap peran yang dibutuhkan tim: satu pengambil keputusan; satu operator yang mahir menjalankan skrip pertahanan dan jeda; satu orang yang merekonstruksi celah dan mengidentifikasi akar masalah; satu orang yang berkomunikasi dengan pihak terkait; satu orang yang mencatat pengamatan, kejadian, dan garis waktu keputusan.

Ketika semua orang tahu peran mereka dan sudah berlatih, Anda bisa merespons sesuai prosedur, bukan panik di saat kritis.

Pertimbangkan reaksi berantai

Asumsikan penyerang sangat berpengalaman. Celah pertama mungkin adalah umpan, atau benih untuk serangan lanjutan. Serangan bisa berupa memancing Anda melakukan hal yang salah, sehingga memicu celah nyata.

Jeda harus melalui penelitian matang, sepenuhnya terkendali, dan tidak bisa dimanfaatkan. Jeda harus berupa pembekuan seluruh protokol: Anda tidak ingin terjebak menjeda satu komponen dan membuka celah lain. Setelah menemukan akar dan vektor serangan, telusuri permukaan yang terbuka dan reaksi berantai, lalu perbaiki semuanya sekaligus.

Rotasi pengganti yang sudah dijanjikan

Hanya dengan mengetahui pengganti sebelumnya, rotasi bisa aman. Saya suka ide daftar pengganti yang sudah dijanjikan: ini membuat penyerang lebih sulit mengganti penjaga/tata kelola yang sehat dengan yang diretas. Ini sejalan dengan konsep “daftar putih/daftar hitam” dalam langkah mitigasi.

Daftarkan satu alamat pengganti untuk setiap peran penting. Satu-satunya instrumen rotasi yang aman adalah “Ganti peran X dengan penggantinya”. Ini juga memungkinkan Anda menilai pengganti secara perlahan selama masa damai: lakukan due diligence, temui orang yang mengajukan permintaan, dan lakukan proses.

Uji dengan hati-hati sebelum upgrade

Setelah Anda mengidentifikasi akar dan ruang lingkup dampak, Anda harus merilis upgrade. Ini mungkin adalah kode paling berbahaya yang akan Anda deploy: ditulis di bawah tekanan, menargetkan penyerang yang sudah terbukti mengetahui protokol Anda dan menemukan celah.

Tunda rilis tanpa pengujian yang cukup. Jika tidak ada waktu untuk audit, manfaatkan hubungan white hat, atau atur kompetisi 48 jam sebelum deployment untuk mendapatkan review adversarial yang segar.

Pemulihan

Tindakan cepat

Dana yang dicuri memiliki paruh waktu; begitu celah dieksploitasi, dana tersebut akan cepat masuk ke jalur pencucian uang. Siapkan Chainalysis dan penyedia analisis on-chain lainnya untuk memantau alamat penyerang secara real-time, dan saat mereka melompat antar chain, beri tahu bursa untuk menandai dan melacak.

Persiapkan daftar pihak ketiga yang bisa membekukan pesan lintas chain atau deposit dalam transit, termasuk bursa, pengelola jembatan lintas chain, dan custodial.

Negosiasi

Ya, ini menyakitkan, tetapi Anda tetap harus mencoba bernegosiasi dengan penyerang. Banyak hal dalam hidup bisa diselesaikan melalui negosiasi. Tawarkan bounty white hat dengan batas waktu; umumkan bahwa jika dana dikembalikan penuh sebelum batas waktu, tidak akan ada tindakan hukum.

Jika menghadapi aktor negara, keberuntungan mungkin tipis, tetapi Anda bisa mengandalkan program “white hat safe harbor”, memberi wewenang kepada white hat untuk bertindak melindungi dana dan mengambil persentase tertentu dari bounty sebagai biaya (sebenarnya dibayar oleh deposan).

Temukan auditor yang baik

Saya pernah menulis, bahwa seiring model bahasa besar menjadi lebih pintar, nilai tambah mempekerjakan auditor menurun. Saya tetap percaya, tetapi pandangan saya sedikit berubah.

Pertama, auditor yang baik akan selalu berada di garis depan. Jika Anda mengerjakan sesuatu yang inovatif, kode dan celahnya mungkin tidak ada dalam data pelatihan mereka, dan menambah token saja belum terbukti efektif menemukan celah baru. Anda tidak ingin menjadi sampel pertama dari celah unik.

Kedua, manfaat yang kurang dihargai adalah: mempekerjakan auditor adalah menggunakan reputasi mereka sebagai jaminan. Jika mereka menandatangani dan Anda diretas, mereka akan sangat termotivasi membantu. Menjalin hubungan dengan profesional keamanan adalah keuntungan besar.

Praktik keamanan operasional

Anggap keamanan operasional sebagai indikator keberhasilan. Latihan phishing; sewa tim red team (yang terpercaya) untuk melakukan serangan rekayasa sosial terhadap tim. Siapkan hardware wallet dan perangkat cadangan, agar saat D-day, Anda tidak panik membelinya.

Langkah mitigasi

Jalur keluar Anda adalah batas kerugian

Setiap jalur untuk mengeluarkan nilai dari protokol harus memiliki batas maksimum kerugian teoretis saat jalur tersebut disalahgunakan. Singkatnya: fungsi pencetakan tanpa batas per blok adalah cek kosong untuk pencetakan tak terbatas. Fungsi penebusan tanpa batas mingguan adalah cek kosong untuk kerusakan saldo aset.

Pertimbangkan secara hati-hati angka pasti untuk jalur keluar Anda. Angka ini harus menyeimbangkan antara kerusakan maksimal yang bisa Anda tanggung dan kebutuhan UX ekstrem pengguna. Jika terjadi masalah, ini adalah hal yang bisa menyelamatkan Anda dari kehancuran total.

Daftar putih (dan daftar hitam)

Sebagian besar protokol memiliki daftar yang bisa dipanggil, diperdagangkan, atau diterima, serta daftar yang tidak boleh dilakukan pengguna. Bahkan jika implisit, ini adalah batas kepercayaan yang harus diformalisasi.

Formalitas ini memungkinkan Anda mengatur setter dua tahap, menciptakan gesekan yang berarti. Penyerang harus menambahkan ke daftar putih (dan/atau menghapus dari daftar hitam) terlebih dahulu, baru bisa bertindak. Memiliki keduanya berarti penyerang harus menembus dua proses sekaligus: pasar harus diizinkan (termasuk listing), dan tindakan tersebut tidak boleh dilarang (peninjauan keamanan).

Kembalikan kendali

Monitoring algoritmik

Tanpa pengawasan manusia, saklar pemutus tidak berguna. Pengawas off-chain harus terus memantau invarians, dan jika ada masalah, tingkatkan alarm secara algoritmik. Jalur akhir harus sampai ke manusia di multi-sig penjaga, dan berikan konteks yang cukup agar mereka bisa membuat keputusan dalam beberapa menit.

Rekalibrasi

Jika Anda terkena serangan, hentikan perdarahan terlebih dahulu, bukan membuat keputusan dalam hitungan mundur. Untuk protokol, ini adalah saklar pemutus (juga harus terlihat di UI): sebuah tombol yang bisa menghentikan semua jalur pergerakan nilai dalam satu transaksi. Siapkan skrip “jeda semua” yang dapat mengenumerasi semua komponen yang bisa dijeda dan menjeda secara atom.

Hanya tata kelola yang bisa membatalkan jeda, jadi saklar pemutus tidak boleh menjeda kontrak tata kelola itu sendiri. Jika lapisan penjaga bisa menjeda kontrak tata kelola, penjaga yang diretas bisa mengunci proses pemulihan secara permanen.

Aktifkan ruang perang Anda

Bekukan, hentikan perdarahan, lalu ajak semua orang yang Anda percaya (kelompok kecil, yang sudah disepakati sebelumnya) ke saluran komunikasi. Anda ingin menjaga agar informasi tetap kecil agar tidak bocor ke penyerang, publik, atau pelaku arbitrase jahat.

Lakukan role-playing terhadap peran yang dibutuhkan tim: satu pengambil keputusan; satu operator yang mahir menjalankan skrip pertahanan dan jeda; satu orang yang merekonstruksi celah dan mengidentifikasi akar masalah; satu orang yang berkomunikasi dengan pihak terkait; satu orang yang mencatat pengamatan, kejadian, dan garis waktu keputusan.

Ketika semua orang tahu peran mereka dan sudah berlatih, Anda bisa merespons sesuai prosedur, bukan panik di saat kritis.

Pertimbangkan reaksi berantai

Asumsikan penyerang sangat berpengalaman. Celah pertama mungkin adalah umpan, atau benih untuk serangan lanjutan. Serangan bisa berupa memancing Anda melakukan hal yang salah, sehingga memicu celah nyata.

Jeda harus melalui penelitian matang, sepenuhnya terkendali, dan tidak bisa dimanfaatkan. Jeda harus berupa pembekuan seluruh protokol: Anda tidak ingin terjebak menjeda satu komponen dan membuka celah lain. Setelah menemukan akar dan vektor serangan, telusuri permukaan yang terbuka dan reaksi berantai, lalu perbaiki semuanya sekaligus.

Rotasi pengganti yang sudah dijanjikan

Hanya dengan mengetahui pengganti sebelumnya, rotasi bisa aman. Saya suka ide daftar pengganti yang sudah dijanjikan: ini membuat penyerang lebih sulit mengganti penjaga/tata kelola yang sehat dengan yang diretas. Ini sejalan dengan konsep “daftar putih/daftar hitam” dalam langkah mitigasi.

Daftarkan satu alamat pengganti untuk setiap peran penting. Satu-satunya instrumen rotasi yang aman adalah “Ganti peran X dengan penggantinya”. Ini juga memungkinkan Anda menilai pengganti secara perlahan selama masa damai: lakukan due diligence, temui orang yang mengajukan permintaan, dan lakukan proses.

Uji dengan hati-hati sebelum upgrade

Setelah Anda mengidentifikasi akar dan ruang lingkup dampak, Anda harus merilis upgrade. Ini mungkin adalah kode paling berbahaya yang akan Anda deploy: ditulis di bawah tekanan, menargetkan penyerang yang sudah terbukti mengetahui protokol Anda dan menemukan celah.

Tunda rilis tanpa pengujian yang cukup. Jika tidak ada waktu untuk audit, manfaatkan hubungan white hat, atau atur kompetisi 48 jam sebelum deployment untuk mendapatkan review adversarial yang segar.

Pemulihan

Tindakan cepat

Dana yang dicuri memiliki paruh waktu; begitu celah dieksploitasi, dana tersebut akan cepat masuk ke jalur pencucian uang. Siapkan Chainalysis dan penyedia analisis on-chain lainnya untuk memantau alamat penyerang secara real-time, dan saat mereka melompat antar chain, beri tahu bursa untuk menandai dan melacak.

Persiapkan daftar pihak ketiga yang bisa membekukan pesan lintas chain atau deposit dalam transit, termasuk bursa, pengelola jembatan lintas chain, dan custodial.

Negosiasi

Ya, ini menyakitkan, tetapi Anda tetap harus mencoba bernegosiasi dengan penyerang. Banyak hal dalam hidup bisa diselesaikan melalui negosiasi. Tawarkan bounty white hat dengan batas waktu; umumkan bahwa jika dana dikembalikan penuh sebelum batas waktu, tidak akan ada tindakan hukum.

Jika menghadapi aktor negara, keberuntungan mungkin tipis, tetapi Anda bisa mengandalkan program “white hat safe harbor”, memberi wewenang kepada white hat untuk bertindak melindungi dana dan mengambil persentase tertentu dari bounty sebagai biaya (sebenarnya dibayar oleh deposan).

Temukan auditor yang baik

Saya pernah menulis, bahwa seiring model bahasa besar menjadi lebih pintar, nilai tambah mempekerjakan auditor menurun. Saya tetap percaya, tetapi pandangan saya sedikit berubah.

Pertama, auditor yang baik akan selalu berada di garis depan. Jika Anda mengerjakan sesuatu yang inovatif, kode dan celahnya mungkin tidak ada dalam data pelatihan mereka, dan menambah token saja belum terbukti efektif menemukan celah baru. Anda tidak ingin menjadi sampel pertama dari celah unik.

Kedua, manfaat yang kurang dihargai adalah: mempekerjakan auditor adalah menggunakan reputasi mereka sebagai jaminan. Jika mereka menandatangani dan Anda diretas, mereka akan sangat termotivasi membantu. Menjalin hubungan dengan profesional keamanan adalah keuntungan besar.

Praktik keamanan operasional

Anggap keamanan operasional sebagai indikator keberhasilan. Latihan phishing; sewa tim red team (yang terpercaya) untuk melakukan serangan rekayasa sosial terhadap tim. Siapkan hardware wallet dan perangkat cadangan, agar saat D-day, Anda tidak panik membelinya.

Langkah mitigasi

Jalur keluar Anda adalah batas kerugian

Setiap jalur untuk mengeluarkan nilai dari protokol harus memiliki batas maksimum kerugian teoretis saat jalur tersebut disalahgunakan. Singkatnya: fungsi pencetakan tanpa batas per blok adalah cek kosong untuk pencetakan tak terbatas. Fungsi penebusan tanpa batas mingguan adalah cek kosong untuk kerusakan saldo aset.

Pertimbangkan secara hati-hati angka pasti untuk jalur keluar Anda. Angka ini harus menyeimbangkan antara kerusakan maksimal yang bisa Anda tanggung dan kebutuhan UX ekstrem pengguna. Jika terjadi masalah, ini adalah hal yang bisa menyelamatkan Anda dari kehancuran total.

Daftar putih (dan daftar hitam)

Sebagian besar protokol memiliki daftar yang bisa dipanggil, diperdagangkan, atau diterima, serta daftar yang tidak boleh dilakukan pengguna. Bahkan jika implisit, ini adalah batas kepercayaan yang harus diformalisasi.

Formalitas ini memungkinkan Anda mengatur setter dua tahap, menciptakan gesekan yang berarti. Penyerang harus menambahkan ke daftar putih (dan/atau menghapus dari daftar hitam) terlebih dahulu, baru bisa bertindak. Memiliki keduanya berarti penyerang harus menembus dua proses sekaligus: pasar harus diizinkan (termasuk listing), dan tindakan tersebut tidak boleh dilarang (peninjauan keamanan).

Kembalikan kendali

Monitoring algoritmik

Tanpa pengawasan manusia, saklar pemutus tidak berguna. Pengawas off-chain harus terus memantau invarians, dan jika ada masalah, tingkatkan alarm secara algoritmik. Jalur akhir harus sampai ke manusia di multi-sig penjaga, dan berikan konteks yang cukup agar mereka bisa membuat keputusan dalam beberapa menit.

Rekalibrasi

Jika Anda terkena serangan, hentikan perdarahan terlebih dahulu, bukan membuat keputusan dalam hitungan mundur. Untuk protokol, ini adalah saklar pemutus (juga harus terlihat di UI): sebuah tombol yang bisa menghentikan semua jalur pergerakan nilai dalam satu transaksi. Siapkan skrip “jeda semua” yang dapat mengenumerasi semua komponen yang bisa dijeda dan menjeda secara atom.

Hanya tata kelola yang bisa membatalkan jeda, jadi saklar pemutus tidak boleh menjeda kontrak tata kelola itu sendiri. Jika lapisan penjaga bisa menjeda kontrak tata kelola, penjaga yang diretas bisa mengunci proses pemulihan secara permanen.

Aktifkan ruang perang Anda

Bekukan, hentikan perdarahan, lalu ajak semua orang yang Anda percaya (kelompok kecil, yang sudah disepakati sebelumnya) ke saluran komunikasi. Anda ingin menjaga agar informasi tetap kecil agar tidak bocor ke penyerang, publik, atau pelaku arbitrase jahat.

Lakukan role-playing terhadap peran yang dibutuhkan tim: satu pengambil keputusan; satu operator yang mahir menjalankan skrip pertahanan dan jeda; satu orang yang merekonstruksi celah dan mengidentifikasi akar masalah; satu orang yang berkomunikasi dengan pihak terkait; satu orang yang mencatat pengamatan, kejadian, dan garis waktu keputusan.

Ketika semua orang tahu peran mereka dan sudah berlatih, Anda bisa merespons sesuai prosedur, bukan panik di saat kritis.

Pertimbangkan reaksi berantai

Asumsikan penyerang sangat berpengalaman. Celah pertama mungkin adalah umpan, atau benih untuk serangan lanjutan. Serangan bisa berupa memancing Anda melakukan hal yang salah, sehingga memicu celah nyata.

Jeda harus melalui penelitian matang, sepenuhnya terkendali, dan tidak bisa dimanfaatkan. Jeda harus berupa pembekuan seluruh protokol: Anda tidak