Beberapa hari yang lalu, bursa Velocore kehilangan sekitar $10 juta karena pelanggaran keamanan pada blockchainnya, menyoroti betapa parahnya krisis keamanan yang mengancam industri kripto.
Tentu saja, ini bukan insiden keamanan pertama yang kita dengar mengenai pertukaran terpusat dan terdesentralisasi. Banyak taktik peretasan dan non-peretasan telah merampas miliaran industri kripto, terutama bencana senilai $1,4 miliar tahun lalu.
Pelanggaran keamanan ini telah terjadi, dan akan terus berlanjut, hingga bursa mata uang kripto mendedikasikan sebagian besar sumber dayanya untuk menutupi titik-titik buta dan menerapkan tindakan pencegahan.
Saat ini, sebagian besar serangan terhadap bursa kripto terjadi melalui salah satu pintu berikut, beberapa di bursa terpusat dan lainnya di DEX:
Kontrak pintar
Kerentanan yang Dirantai
Manipulasi Harga
Kesalahan Pengkodean & Kontrak Cerdas yang Cacat
Meskipun bersifat inovatif, kontrak pintar tidaklah mudah. Salah satu kasus yang paling terkenal adalah skenario serangan reentrancy, di mana penyerang dapat memanggil suatu fungsi lebih dari satu kali sebelum panggilan pertama selesai.
Hal yang sama berlaku untuk CEX dalam banyak skenario, yang menunjukkan bahwa masih ada ruang untuk peningkatan keamanan.
Secara keseluruhan, sebagian besar masalah berasal dari dua sumber berikut:
Lubang Pengkodean
Ketika menyangkut pelanggaran keamanan, orang biasanya mengharapkan sesuatu yang jauh lebih hebat daripada kesalahan pengkodean. Pengkodean, meskipun cukup mendasar, masih menjadi dasar dari setiap proyek kripto. Kesalahan kecil dalam kode mungkin berdampak besar pada keuntungan. Salah satu contoh bagusnya adalah serangan DAO tahun 2016 yang menyebabkan kerugian sebesar $50 juta bagi peretas, hanya karena lubang keamanan pada kodenya.
Kurangnya Audit yang Tepat
Banyak proyek yang dijalankan tanpa audit menyeluruh oleh pihak luar, sehingga lebih rentan terhadap kerentanan. Serangan terhadap Jaringan Ronin pada tahun 2022 hampir menghancurkan Axie Infinity, mencuri 173,600 Ethereum dan 25.5 juta USDC—hampir $700 juta.
Kerentanan yang Dirantai
Ada pro dan kontra mengenai cara pertukaran dan protokol bekerja sama. Semakin banyak fitur yang mereka tambahkan, semakin rumit koneksi yang mereka tunjukkan. Satu pelanggaran dalam satu protokol dapat menyebabkan masalah pada protokol lainnya, seperti situasi apel busuk.
Krisis Interoperabilitas & Integrasi yang Terkompromikan
Cacat pada satu protokol mungkin mempunyai efek domino pada protokol lain karena keterhubungannya. Pelanggaran Cream Finance pada tahun 2021 hanyalah satu lagi proyek DeFi yang disusupi oleh aktor oportunistik. Para penjahat mencuri aset senilai lebih dari $130 juta dari jaringan lain dengan memanfaatkan lubang Keamanan di jaringan Cream Finance.
Skenario yang sama dapat diterapkan pada CEX dan kurangnya uji tuntas saat bermitra dengan layanan likuiditas pihak ketiga atau dompet dan gateway pembayaran yang tidak aman. Tentu saja, pemantauan terpusat dapat mengurangi kerusakan dalam banyak kasus.
Pinjaman Kilat
Dengan pinjaman kilat, peminjam tidak perlu memberikan jaminan selama mereka membayar kembali uangnya sekaligus. Beberapa pelaku kejahatan telah memanfaatkan pinjaman kilat untuk menaikkan harga secara artifisial di bursa dan mencuri uang dari protokol yang lebih lemah dan rentan terhadap manipulasi.
Meskipun kerusakan sering kali terbatas pada DEX, hal ini dapat menyebabkan manipulasi pasar serupa pada CEX, yang akan mengakibatkan pengawasan regulasi dan pukulan besar terhadap reputasi mereka.
Manipulasi Harga
Bersikap tidak adil adalah trik paling mendasar untuk pasar keuangan mana pun. Pertukaran terpusat dan terdesentralisasi juga demikian. Mereka menderita dalam banyak hal, termasuk:
Pelari depan
Peretas yang sangat menginginkan keuntungan mungkin menggunakan bot untuk “berlari di depan”—mengeksekusi transaksi mereka dengan biaya lebih tinggi—dengan menemukan transaksi yang menguntungkan. Salah satu contoh bagusnya adalah Merlin DEX. Untuk mendapatkan kendali atas token LP, para peretas membobol bursa dan menggunakan kelemahan dalam kontrak pintar. Dengan memasukkan token palsu ke dalam pool, mereka menguras token asli dari bursa dan meninggalkan bursa dengan kerugian besar.
Spoofing dan Layering
Spoofer memanipulasi harga pasar dengan menciptakan kesan penawaran dan permintaan yang menipu. Mereka melakukan ini dengan menempatkan pesanan dalam jumlah besar tanpa niat untuk dieksekusi, hanya untuk membatalkannya sebelum dipenuhi. Taktik serupa dikenal sebagai layering, di mana pedagang menempatkan beberapa pesanan pada tingkat harga berbeda untuk memberikan kesan palsu mengenai kedalaman pasar yang signifikan.
Apa Solusinya?
Meskipun bursa mata uang kripto terus berupaya meningkatkan keamanan pengguna, terkadang sulit untuk mengimbangi peretas. Namun, mereka dapat memperkuat kerangka kerja mereka dengan beberapa langkah:
Audit Reguler & Insentif Bug Bounty
Untuk menemukan kelemahan keamanan dalam aplikasi DeFi seperti kontrak pintar sebelum digunakan untuk tujuan yang buruk, audit kode yang menyeluruh sangat penting. Bahkan pemrogram paling berpengalaman sekalipun mungkin melewatkan beberapa kelemahan dan cacat keamanan; audit menyeluruh oleh perusahaan keamanan pihak ketiga yang tepercaya dapat membantu.
Skema bug bounty juga mendorong pakar keamanan dan peretas topi putih untuk mengungkap kerentanan, yang sangat penting bagi industri DeFi. Selain memperkuat keamanan setelah peluncuran, langkah-langkah ini juga mempersiapkan landasan untuk memperbarui dan meningkatkan standar keamanan secara rutin.
Rasio Pesanan terhadap Perdagangan
Trader diharapkan menjaga rasio wajar antara pesanan yang dibuat dan transaksi sebenarnya, dan CEX bertugas memantau dan menegakkan rasio ini. Setelah itu, mereka perlu memberikan sanksi kepada orang-orang yang melanggar rasio pesanan terhadap perdagangan. Hal ini akan mencegah orang menempatkan terlalu banyak pesanan tanpa berencana melaksanakannya.
Pengukuran Lapisan 2
Penurunan harga dan lalu lintas gas dapat dilakukan dengan menggunakan teknologi Layer 2. Namun, DEX perlu berhati-hati agar solusi ini tidak membuat aktivitas on-chain menjadi tidak aman atau membuka pintu bagi kerentanan baru.
Asuransi DeFi
Memiliki asuransi di DeFi sangat penting karena melindungi pengguna dari kehilangan uang karena peretas, eksploitasi, atau masalah operasional lainnya.
Pengguna mungkin merasa tenang dan melihat platform DeFi sebagai alternatif yang menarik dibandingkan sistem perbankan konvensional karena memberikan perlindungan terhadap berbagai ancaman.
Transparansi & Pelaporan
Pedagang dapat membedakan dengan lebih baik antara perilaku adil dan tidak adil jika mereka memiliki akses terhadap data dan wawasan pasar yang komprehensif. Memungkinkan para pedagang untuk mengungkapkan manipulasi pasar atau aktivitas yang meragukan secara anonim.
Para penjahat di balik operasi ini selalu selangkah lebih maju dalam hal inovasi teknologi. Untuk melindungi klien mereka dari pelaku kejahatan, platform ini harus terus mengembangkan dan menerapkan langkah-langkah keamanan baru.
Pos Fortifikasi Pertukaran Mata Uang Kripto: Tantangan dan Solusi Strategis muncul pertama kali di Metaverse Post.
