Mendekentralisasi keamanan cyber: Audit publik bermanfaat bagi web3

Audit keamanan sangat penting - tetapi hasilnya biasanya tidak dipertanyakan, sementara satu tinjauan tidak selalu dapat menemukan semua kerentanan. Audit publik, mendorong peretas topi putih untuk memeriksa ulang hasil audit melalui insentif DeFi, dapat meningkatkan keamanan seluruh web3 - karena insentif ini akan membuat bug bounty terjangkau bahkan untuk proyek skala kecil.

Mengapa audit biasa tidak selalu cukup

Menurut Laporan Keamanan Q3 oleh Hacken, industri web3 kehilangan $1,8 miliar yang mengagumkan hanya pada tahun 2024. Hampir 40% dari kerugian ini disebabkan oleh masalah yang dapat dicegah seperti kerentanan kontrak pintar dan serangan reentrancy. Mengejutkannya, 90% proyek yang diretas belum pernah mengalami audit apa pun, menyoroti kelalaian penting dalam keamanan.

Audit keamanan tradisional sangat penting—mereka menawarkan tinjauan yang mendalam dan dipimpin oleh para ahli pada titik-titik kritis dalam siklus proyek, memastikan keamanan dana pengguna. Namun, karena sifat pusat dari audit ini, biasanya tidak ada kesempatan untuk menantang temuannya—kecuali jika proyek melakukan investasi pada audit kedua, yang jarang terjadi. Mengharapkan satu tinjauan untuk menemukan semuanya tidak realistis, karena bahkan auditor yang paling rajin rentan terhadap kesalahan manusia.

Solusi atas masalah ini terletak pada etos desentralisasi web3. Proyek Kripto bisa melibatkan komunitas hacker topi putih yang lebih luas untuk audit publik, sehingga memberikan tinjauan keamanan yang terdesentralisasi, berkelanjutan, dan didorong oleh komunitas.

Audit keamanan terdesentralisasi: Prinsip & keuntungan

Masalah utama dalam merancang audit terdesentralisasi adalah memberikan insentif kuat kepada auditor independen sambil memastikan bahwa ini tidak menimbulkan biaya tambahan bagi proyek-proyek tersebut. Biarkan saya menggambarkan salah satu cara yang mungkin untuk mencapai keseimbangan ini melalui alat-alat DeFi.

Bayangkan platform keamanan meluncurkan kolam hadiah berbasis kontrak pintar yang didedikasikan setiap kali memiliki klien baru yang meminta audit. Perusahaan mengisi kolam ini dengan bagian dari biaya audit sementara pemegang tokennya menambahkan lebih banyak dengan mempertaruhkan token platform. Setelah platform menyelesaikan auditnya sendiri, para peneliti keamanan independen bergabung dalam permainan—dan memeriksa ulang kode klien. Ketika audit komunitas selesai, pemeriksa independen dan pemegang taruhan mengumpulkan hadiah dari kolam.

Begini cara Kerja DualDefense Flash Pools di Hacken. Setiap klien yang membayar untuk audit pribadi akan menerima audit publik tambahan, menciptakan model keamanan berlapis ganda. Dan sesuai semangat DeFi, partisipasi komunitas diincentivasi dengan imbalan staking.

Pendekatan ini memiliki manfaat yang luas: komunitas mendapatkan instrumen APY real-yield yang tinggi, auditor menyambut pengujian sebaya dari temuan mereka, dan hacker white-hat mendapatkan hadiah atas penemuan bug yang valid—bahkan untuk menemukan kode bersih. Bagi proyek сrypto, ini berarti peningkatan jaminan keamanan kode mereka. Bagi seluruh industri web3, ini menawarkan pendekatan yang layak untuk meningkatkan keamanan dan melawan kejahatan siber.

Audit terdesentralisasi mendemokratisasi akses keamanan untuk proyek web3, terutama yang baru. Banyak startup kripto memiliki MVP yang bagus tetapi seringkali kurang memiliki sumber daya untuk bounty bug tradisional, yang dapat mahal—tidak ada yang dapat memprediksi berapa banyak bug yang dapat ditemukan oleh para peretas etis. Model yang kami usulkan menangani hal ini dengan kolam hadiah tetap yang didanai oleh komunitas, membuat keamanan dapat diakses dan dapat diprediksi dari awal.

Menerapkan model ini menimbulkan risiko yang cukup nyata bagi perusahaan pemeriksa: hal ini menempatkan reputasi platform pada garis dengan memungkinkan pihak pemeriksa eksternal untuk memverifikasi kerjanya. Namun, dengan cara ini, perusahaan mendapatkan insentif ekstra untuk mendekati setiap audit dengan lebih hati-hati, mengetahui seberapa publik hasil kerjanya akan—pada akhirnya, hal ini akan menguntungkan seluruh industri. Pemeriksa kontrak pintar seharusnya tidak pergi setelah suatu audit—sudah saatnya untuk berani dan bertanggung jawab.

Akhirnya, kolam audit publik memperkenalkan sesuatu yang kurang dalam DeFi - imbalan yang didukung oleh uang dunia nyata. Model ini menjamin bahwa pengembalian pengguna tidak didorong oleh emisi token inflasi, yang sering mengakibatkan pertumbuhan yang tidak berkelanjutan dan penurunan nilai seiring waktu. Sebaliknya, pengguna mendapatkan keuntungan dari aktivitas pasar nyata, mengambil langkah menuju model keuangan yang lebih berkelanjutan dalam DeFi.

Menggabungkan audit tradisional dengan audit yang didukung oleh komunitas terbuka membuka jalan bagi model keamanan yang tangguh yang cocok untuk proyek-proyek berbagai skala. Audit publik, didukung oleh insentif DeFi, menandai langkah transformatif menuju budaya keamanan yang dapat diakses, tangguh, dan proaktif di web3.

Dyma Budorin

Dyma Budorin merupakan salah satu pendiri dan CEO dari Hacken, auditor keamanan blockchain utama, sebagai co-chair dari EEA DRAMA (sebuah grup DeFi Risk Assessment Management and Accounting), serta sebagai co-author dari standar industri kripto. Setelah lebih dari delapan tahun pengalaman auditing di Deloitte, beliau pernah menjabat sebagai konselor audit di Ukrspetsexport dan wakil CEO strategi dan pengembangan di Ukrinmash (keduanya adalah agensi negara Ukraina). Sebagai penggemar kripto dan pakar keamanan siber, pandangan Dyma telah diberitakan oleh BBC, Wired, Cointelegraph, Coindesk, dan media terkemuka lainnya. Beliau juga menjabat sebagai Wakil Presiden dari Asosiasi Blockchain Ukraina.