Pengungkapan: Pandangan dan pendapat yang diungkapkan di sini hanya milik penulis dan tidak mewakili pandangan dan pendapat editorial crypto.news.
Audit keamanan sangat penting—tetapi hasilnya biasanya tidak ditantang, sementara satu tinjauan tidak selalu dapat menemukan semua kerentanan. Audit publik, yang mendorong hacker white hat untuk memeriksa kembali hasil audit melalui insentif DeFi, dapat meningkatkan keamanan seluruh web3—karena mereka akan membuat bug bounty terjangkau bahkan untuk proyek skala kecil.
Anda mungkin juga suka: Dompet crypto dapat melindungi data pribadi Anda | Pendapat
Mengapa audit biasa sering kali tidak cukup
Menurut Laporan Keamanan Q3 oleh Hacken, industri web3 kehilangan jumlah yang mengejutkan sebesar $1,8 miliar hanya pada tahun 2024. Hampir 40% dari kerugian ini disebabkan oleh masalah yang dapat dicegah seperti kerentanan kontrak pintar dan serangan reentrancy. Yang mengkhawatirkan, 90% proyek yang diretas tidak pernah menjalani audit, menyoroti pengabaian kritis dalam keamanan.
Audit keamanan tradisional sangat penting—mereka menawarkan tinjauan mendalam yang dipimpin oleh ahli pada titik-titik kritis dalam siklus hidup proyek, memastikan keamanan dana pengguna. Namun, karena sifat terpusat dari audit ini, biasanya tidak ada kesempatan untuk menantang temuan mereka—kecuali proyek tersebut berinvestasi dalam audit kedua, yang jarang terjadi. Mengharapkan satu tinjauan untuk menangkap semuanya tidak realistis, karena bahkan auditor yang paling teliti pun rentan terhadap kesalahan manusia.
Solusi untuk masalah ini terletak pada etos desentralisasi web3. Proyek crypto dapat melibatkan komunitas hacker white-hat yang lebih luas untuk audit publik, sehingga menyediakan tinjauan keamanan yang terdesentralisasi, berkelanjutan, dan didorong oleh komunitas.
Audit keamanan terdesentralisasi: Prinsip & keuntungan
Masalah nomor satu dalam merancang audit terdesentralisasi adalah memberikan insentif yang kuat kepada auditor independen sambil memastikan mereka tidak datang dengan biaya tambahan untuk proyek-proyek tersebut. Izinkan saya menggambarkan satu cara yang mungkin untuk mencapai keseimbangan ini melalui alat DeFi.
Bayangkan platform keamanan meluncurkan kolam hadiah berbasis kontrak pintar yang didedikasikan setiap kali memiliki klien baru yang meminta audit. Perusahaan mengisi kolam ini dengan sebagian biaya audit sementara pemegang tokennya menambah lebih banyak dengan mempertaruhkan token platform. Setelah platform menyelesaikan auditnya sendiri, peneliti keamanan independen bergabung dalam permainan—dan memeriksa kembali kode klien. Ketika audit komunitas selesai, auditor independen dan pemangku kepentingan mengumpulkan hadiah dari kolam tersebut.
Inilah cara kerja DualDefense Flash Pools di Hacken. Setiap klien yang membayar untuk audit pribadi menerima audit publik tambahan, menciptakan model keamanan berlapis ganda. Dan dalam semangat sejati DeFi, partisipasi komunitas diinsentifkan dengan hadiah staking.
Pendekatan ini memiliki manfaat yang luas: komunitas mendapatkan instrumen APY hasil nyata yang tinggi, auditor menyambut pengujian sejawat atas temuan mereka, dan hacker white-hat mendapatkan imbalan untuk penemuan bug yang valid—bahkan untuk menemukan kode yang bersih. Bagi proyek crypto, ini berarti peningkatan jaminan akan keamanan kode mereka. Bagi seluruh industri web3, ini menawarkan pendekatan yang layak untuk meningkatkan keamanan dan memerangi kejahatan siber.
Audit terdesentralisasi mendemokratiskan akses ke keamanan untuk proyek web3, terutama yang baru lahir. Banyak startup crypto memiliki MVP yang hebat tetapi sering kali kekurangan sumber daya untuk bug bounty tradisional, yang bisa mahal—tak ada yang dapat memprediksi berapa banyak bug yang mungkin ditemukan oleh hacker etis. Model yang kami ajukan mengatasi ini dengan kolam hadiah yang didanai oleh komunitas, menjadikan keamanan dapat diakses dan dapat diprediksi sejak awal.
Menerapkan model ini menghadirkan risiko yang cukup nyata bagi perusahaan auditor: itu menempatkan reputasi platform dalam risiko dengan memungkinkan auditor eksternal untuk memverifikasi pekerjaannya. Dengan cara ini, perusahaan mendapatkan insentif tambahan untuk mendekati setiap audit dengan lebih hati-hati, mengetahui seberapa publik hasil kerja mereka—pada akhirnya, ini akan menguntungkan seluruh industri. Auditor kontrak pintar tidak seharusnya pergi setelah audit—saatnya untuk berani dan bertanggung jawab.
Akhirnya, kolam audit publik memperkenalkan sesuatu yang kurang dalam DeFi—hadiah yang didukung oleh uang nyata. Model ini menjamin bahwa imbal hasil pengguna tidak didorong oleh emisi token inflasi, yang sering kali mengakibatkan pertumbuhan yang tidak berkelanjutan dan penurunan nilai dari waktu ke waktu. Sebaliknya, pengguna mendapatkan keuntungan dari aktivitas pasar nyata, membuat langkah menuju model keuangan yang lebih berkelanjutan di DeFi.
Menggabungkan audit tradisional dengan audit yang didukung komunitas membuka jalan untuk model keamanan yang tangguh yang sesuai untuk proyek dari semua skala. Audit publik, didukung oleh insentif yang digerakkan oleh DeFi, menandai langkah transformasional menuju budaya keamanan yang dapat diakses, kokoh, dan proaktif di web3.
Baca lebih lanjut: Pendidikan adalah kunci untuk adopsi crypto yang lebih luas | Pendapat
Penulis: Dyma Budorin
Dyma Budorin adalah salah satu pendiri dan CEO Hacken, auditor keamanan blockchain terkemuka, ketua bersama EEA DRAMA (sebuah grup Manajemen dan Akuntansi Penilaian Risiko DeFi), dan co-author standar industri crypto. Setelah lebih dari delapan tahun pengalaman audit di Deloitte, ia menjabat sebagai penasihat audit di Ukrspetsexport dan wakil CEO strategi dan pengembangan di Ukrinmash (kedua lembaga negara Ukraina). Sebagai seorang penggemar crypto dan ahli keamanan siber, wawasan Dyma telah ditampilkan oleh BBC, Wired, Cointelegraph, Coindesk, dan media terkemuka lainnya. Dia juga merupakan Wakil Presiden Asosiasi Blockchain Ukraina.