Panduan Keamanan DeFi: Bagaimana Melindungi Diri Secara Efektif dari Serangan Peretas di Era AI?

Tulisan: sysls

Kompilasi: AididiaoJP, Foresight News

Pendahuluan

Setelah memahami banyak kejadian serangan hacker terhadap protokol DeFi, saya menjadi takut terhadap “aktor negara”. Mereka sangat terampil, memiliki sumber daya yang cukup, dan bermain permainan jangka panjang; para penjahat super ini fokus mengulas setiap sudut protokol dan infrastruktur Anda untuk mencari celah, sementara tim protokol biasa teralihkan perhatian pada enam atau tujuh bidang bisnis yang berbeda.

Saya tidak mengklaim sebagai ahli keamanan, tetapi saya pernah memimpin tim dalam lingkungan berisiko tinggi (termasuk militer dan bidang keuangan dengan dana besar), dan memiliki pengalaman dalam memikirkan serta merencanakan skenario darurat.

Saya sungguh percaya, hanya orang yang paranoid yang bisa bertahan. Tidak ada tim yang mulai dengan berpikir “Saya akan bersikap acuh tak acuh dan santai terhadap keamanan”; namun serangan hacker tetap terjadi. Kita harus melakukan lebih baik.

AI berarti ini benar-benar berbeda kali ini

(Sumber data:

Serangan hacker tidak jarang, tetapi frekuensinya jelas meningkat. Kuartal pertama 2026 adalah kuartal dengan jumlah serangan hacker DeFi terbanyak yang tercatat, dan kuartal kedua baru saja dimulai, tetapi sudah berpotensi memecahkan rekor kuartal sebelumnya.

Asumsi utama saya adalah: AI secara besar-besaran menurunkan biaya pencarian celah dan secara signifikan memperluas permukaan serangan. Manusia membutuhkan beberapa minggu untuk mengulas konfigurasi seratus protokol dan mencari kesalahan konfigurasi; sedangkan model dasar terbaru hanya membutuhkan beberapa jam saja.

Ini seharusnya mengubah total cara kita berpikir dan merespons serangan hacker. Protokol lama yang terbiasa mengandalkan langkah-langkah keamanan sebelum AI menjadi kuat, semakin menghadapi risiko “dibunuh dalam sekejap”.

Berpikir dari permukaan dan hierarki

(Sumber data:

Permukaan serangan hacker sebenarnya dapat diringkas menjadi tiga: tim protokol, kontrak pintar dan infrastruktur, serta batas kepercayaan pengguna (DSN, media sosial, dll).

Setelah mengidentifikasi permukaan ini, tambahkan lapisan pertahanan:

Pencegahan: Jika diterapkan secara ketat, ini dapat meminimalkan probabilitas dimanfaatkan.

Mitigasi: Jika pencegahan gagal, batasi tingkat kerusakan.

Jeda: Tidak ada yang bisa membuat keputusan terbaik di bawah tekanan besar. Setelah mengonfirmasi serangan, segera aktifkan saklar pemutus total. Pembekuan dapat mencegah kerugian lebih lanjut dan memberi ruang untuk berpikir…

Kembalikan: Jika Anda kehilangan kendali atas komponen beracun atau yang telah diretas, abaikan dan ganti.

Pulihkan: Kembalikan apa yang hilang. Rencanakan sebelumnya untuk menghubungi mitra yang dapat membekukan dana, membatalkan transaksi, dan membantu penyelidikan.

Prinsip

Prinsip-prinsip ini membimbing tindakan spesifik kita dalam menerapkan lapisan pertahanan.

Penggunaan AI mutakhir secara besar-besaran

Gunakan model AI mutakhir untuk memindai kode dan konfigurasi Anda, mencari celah, dan melakukan pengujian red team secara luas: coba cari celah di front-end dan lihat apakah bisa menyentuh back-end. Penyerang melakukan hal yang sama. Apa yang bisa dideteksi melalui pemindaian defensif, mereka sudah melakukan pemindaian ofensif.

Gunakan skill seperti pashov, nemesis, serta platform AI seperti Cantina (Apex) dan Zellic (V12) untuk memindai kode secara cepat sebelum audit lengkap.

Waktu dan gesekan adalah pertahanan yang baik

Tambahkan langkah-langkah dan penguncian waktu pada operasi yang berpotensi merusak. Anda membutuhkan cukup waktu untuk intervensi dan membekukan saat menemukan anomali.

Alasan menentang pengaturan waktu dan langkah-langkah berlapis sebelumnya adalah karena akan menimbulkan gesekan bagi tim protokol. Sekarang, Anda tidak perlu terlalu khawatir: AI dapat dengan mudah melewati gesekan ini di latar belakang.

Invarians

Kontrak pintar dapat membangun pertahanan dengan menuliskan “fakta” yang tidak dapat diubah: jika fakta ini dilanggar, seluruh logika protokol akan runtuh.

Biasanya, hanya ada beberapa invarians. Naikkan invarians ini ke tingkat kode dengan hati-hati; menerapkannya di setiap fungsi dengan banyak invarians menjadi sulit dikelola.

Keseimbangan kekuasaan

Banyak serangan hacker berasal dari dompet yang diretas. Anda perlu konfigurasi di mana, meskipun multi-sig diretas, kerusakan dapat segera dikendalikan dan protokol kembali ke keadaan yang dapat dikelola.

Ini membutuhkan keseimbangan antara Pengelolaan (yang memutuskan segalanya) dan Penyelamatan (kemampuan memulihkan stabilitas yang dapat dikelola, tanpa mengganti atau membatalkan pengelolaan itu sendiri).

Selalu ada masalah

Mulai dari awal, asumsikan: tidak peduli seberapa pintar Anda, Anda akan diretas. Kontrak pintar atau dependensi Anda mungkin gagal. Anda bisa terkena serangan rekayasa sosial, pembaruan baru bisa memperkenalkan celah yang tidak terduga.

Dengan berpikir seperti ini, pembatasan kerusakan melalui rate limiting dan breaker protokol akan menjadi teman terbaik Anda. Batasi kerusakan pada 5-10%, lalu beku, dan rencanakan respons Anda. Tidak ada yang bisa membuat keputusan terbaik di tengah serangan besar.

Waktu terbaik untuk merencanakan adalah sekarang

Pikirkan skenario respons Anda sebelum diretas. Sebisa mungkin, ubah proses menjadi kode dan latih tim Anda, sehingga saat serangan terjadi, Anda tidak panik. Di era AI, ini berarti memiliki kemampuan dan algoritma yang mampu menyajikan informasi dalam jumlah besar secara cepat, dan membagikannya dalam ringkasan maupun format panjang ke inti tim Anda.

Anda tidak perlu sempurna, tetapi Anda harus bertahan. Tidak ada sistem yang sempurna dari hari pertama; melalui iterasi, Anda akan menjadi lebih tahan banting dengan belajar dari pengalaman.

Bukti bahwa Anda tidak diretas tidak berarti Anda tidak akan diretas. Titik kenyamanan terbesar seringkali adalah titik bahaya terbesar.

Langkah Pencegahan

Desain kontrak pintar

Setelah menetapkan invarians, tingkatkan menjadi pemeriksaan saat runtime. Pikirkan dengan cermat invarians mana yang benar-benar layak ditegakkan.

Ini adalah pola FREI-PI (Function Requirements, Effects, Interactions, Protocol Invariants): di setiap fungsi yang menyentuh nilai, verifikasi kembali invarians utama yang dijanjikan fungsi tersebut. Banyak serangan seperti CEI (Checks-Effects-Interactions) (serangan sandwich flashloan, likuidasi dengan oracle, pengurasan kemampuan bayar antar fungsi) dapat dideteksi dengan pemeriksaan invarians di akhir fungsi.

Pengujian yang baik

Stateful fuzzing menghasilkan urutan panggilan acak ke seluruh permukaan protokol dan mengassert invarians di setiap langkah. Sebagian besar celah di lingkungan produksi adalah transaksi multi, dan fuzzing stateful hampir satu-satunya cara yang andal untuk menemukan jalur ini sebelum penyerang.

Gunakan pengujian invarians untuk memastikan properti berlaku di semua urutan panggilan yang dihasilkan fuzzing. Dikombinasikan dengan verifikasi formal, ini dapat membuktikan properti berlaku di semua keadaan yang dapat dicapai. Invarians utama Anda harus menerima perlakuan ini.

Oracle dan dependensi

Kompleksitas adalah musuh keamanan. Setiap dependensi eksternal memperluas permukaan serangan. Saat merancang primitive, berikan pilihan kepada pengguna tentang siapa dan apa yang mereka percayai. Jika tidak bisa dihilangkan, lakukan diversifikasi, sehingga tidak ada satu titik kegagalan tunggal yang bisa menghancurkan protokol Anda.

Perluas cakupan audit ke simulasi cara oracle dan dependensi bisa gagal, dan berikan rate limiting terhadap potensi bencana jika mereka gagal.

Contoh terbaru adalah celah KelpDAO: mereka mengadopsi konfigurasi LayerZero default requiredDVNCount=1, yang berada di luar cakupan audit mereka. Akhirnya, yang diretas adalah infrastruktur off-chain di luar cakupan audit.

Serangan permukaan

Sebagian besar serangan permukaan di DeFi sudah tercantum. Periksa setiap kategori, tanyakan apakah itu berlaku untuk protokol Anda, lalu terapkan kontrol terhadap vektor serangan tersebut. Latih skill red team, biarkan AI cerdas Anda aktif mencari celah di protokol Anda; ini sudah menjadi standar saat ini.

Memiliki kemampuan rescue asli

Dalam pengelolaan berbasis voting, kekuasaan awal terkonsentrasi di multi-sig tim, dan butuh waktu untuk menyebar. Bahkan jika distribusi token luas, delegasi seringkali mengkonsentrasikan kekuasaan ke beberapa dompet (bahkan terkadang satu). Ketika dompet ini diretas, permainan selesai.

Deploy “dompet penjaga”, berikan otorisasi yang sangat terbatas: mereka hanya bisa menjeda protokol, dan di bawah threshold >=4/7, mereka bisa mengganti delegasi yang rusak ke dompet pengganti yang sudah ditentukan. Penjaga ini tidak pernah bisa menjalankan proposal pengelolaan.

Dengan begitu, Anda memiliki lapisan penyelamatan yang selalu bisa memulihkan stabilitas pengelolaan, tanpa memiliki kekuasaan untuk membatalkan pengelolaan itu sendiri. Probabilitas kehilangan >=4/7 penjaga sangat kecil (mengingat keberagaman pemilik), dan saat pengelolaan matang dan tersebar, lapisan ini bisa secara bertahap dihilangkan.

Dompet dan topologi kunci

Multi-sig adalah keharusan, minimal 4/7. Tidak ada satu orang pun yang mengendalikan semua 7 kunci. Rotasi signer secara rutin dan diam-diam.

Kunci tidak pernah boleh berinteraksi dengan perangkat yang digunakan sehari-hari. Jika Anda menggunakan perangkat tanda tangan untuk browsing internet, email, atau Slack, anggap signer tersebut sudah diretas.

Miliki beberapa multi-sig, masing-masing untuk tujuan berbeda. Asumsikan minimal satu multi-sig lengkap akan diretas, dan rencanakan dari sana. Tidak ada satu orang pun yang harus memiliki kekuasaan cukup untuk meretas protokol, bahkan dalam skenario ekstrem (penculikan, penyiksaan, dll).

Pertimbangkan bounty

Jika Anda punya sumber daya, menetapkan bounty kerentanan tinggi relatif terhadap TVL protokol sangat berharga; bahkan untuk protokol kecil, bounty harus sebaiknya murah hati (misalnya minimal 7-8 digit angka).

Jika Anda menghadapi serangan dari aktor negara, mereka mungkin tidak akan bernegosiasi, tetapi Anda tetap bisa ikut serta dalam program “white hat safe harbor”, memberi wewenang kepada white hat untuk bertindak demi melindungi dana, dan mengambil persentase tertentu dari bounty sebagai biaya (sebenarnya dibayar oleh deposan).

Temukan auditor yang baik

Saya pernah menulis, bahwa seiring model bahasa besar menjadi lebih pintar, nilai tambah mempekerjakan auditor menurun. Saya tetap percaya itu, tetapi pandangan saya sedikit berubah.

Pertama, auditor yang baik akan selalu berada di garis depan. Jika Anda mengerjakan sesuatu yang inovatif, kode dan celahnya mungkin tidak ada dalam data pelatihan mereka, dan menambah token saja belum terbukti efektif dalam menemukan celah baru. Anda tidak ingin menjadi sampel pertama dari celah unik.

Kedua, manfaat tersembunyi dari mempekerjakan auditor adalah mereka menggunakan reputasi mereka sebagai jaminan. Jika mereka menandatangani dan Anda diretas, mereka akan sangat termotivasi membantu. Menjalin hubungan dengan profesional keamanan adalah keuntungan besar.

Praktik keamanan operasional

Anggap keamanan operasional sebagai indikator keberhasilan. Latih simulasi phishing; sewa tim red team (yang terpercaya) untuk mencoba melakukan social engineering terhadap tim. Siapkan hardware wallet dan perangkat cadangan, agar saat hari H, Anda bisa langsung mengganti multi-sig secara cepat. Jangan menunggu saat-saat genting untuk membeli ini semua.

Langkah mitigasi

Jalur keluar Anda adalah batas kerugian

Batas maksimum nilai yang bisa dipindahkan dari protokol adalah batas kerugian teoretis maksimal saat jalur tersebut disalahgunakan. Singkatnya: fungsi mint tanpa batas per blok adalah cek kosong untuk setiap celah pencetakan tak terbatas. Fungsi redeem tanpa batas per minggu adalah cek kosong untuk setiap saldo aset yang rusak.

Pertimbangkan secara hati-hati angka pasti untuk jalur keluar Anda. Angka ini harus menyeimbangkan antara kerusakan maksimal yang bisa Anda tanggung dan kebutuhan UX ekstrem pengguna. Jika terjadi masalah, ini adalah hal yang bisa menyelamatkan Anda dari kehancuran total.

Daftar putih (dan daftar hitam)

Sebagian besar protokol memiliki daftar yang bisa dipanggil, transaksi, atau menerima, serta daftar yang tidak boleh dilakukan pengguna. Bahkan jika implisit, ini adalah batas kepercayaan yang harus diformalisasi.

Formalkan ini agar Anda bisa mengatur setter dua tahap, menciptakan gesekan yang berarti. Penyerang harus menambahkan ke daftar putih (dan/atau menghapus dari daftar hitam) terlebih dahulu, baru bisa bertindak. Memiliki keduanya berarti penyerang harus menembus dua proses sekaligus: pasar harus diizinkan (integrasi/listing), dan tindakan tersebut tidak boleh dicegah (peninjauan keamanan).

Kembalikan

Monitoring algoritmik

Tanpa pengawasan manusia, saklar pemutus tidak berguna. Pengawas off-chain harus terus memantau invarians, dan jika ada masalah, tingkatkan alarm secara algoritmik. Jalur akhir harus sampai ke manusia yang mengelola multi-sig penjaga, dan mereka harus mendapatkan konteks yang cukup untuk membuat keputusan dalam beberapa menit.

Recalibrasi dan penyesuaian

Jika Anda terkena serangan, hentikan pendarahan terlebih dahulu, bukan membuat keputusan dalam hitungan detik. Untuk protokol, ini adalah saklar pemutus (juga harus terlihat di UI): sebuah tombol yang bisa menghentikan semua jalur pemindahan nilai dalam satu transaksi. Siapkan skrip “pause everything” yang bisa mengenumerasi semua komponen yang bisa dijeda dan menghentikannya secara atom.

Hanya pengelolaan yang bisa membatalkan pause, jadi saklar pemutus tidak boleh menghentikan kontrak pengelolaan itu sendiri. Jika lapisan penjaga bisa menjeda kontrak pengelolaan, maka lapisan tersebut bisa mengunci proses pemulihan secara permanen.

Aktifkan ruang darurat

Freeze, hentikan pendarahan, lalu ajak semua orang terpercaya (kelompok kecil, yang sudah disepakati sebelumnya) ke saluran komunikasi. Buat saluran ini lebih kecil untuk mencegah bocornya informasi ke penyerang, publik, atau arbitrase jahat.

Lakukan role-playing sesuai peran: pengambil keputusan; operator yang mahir menjalankan skrip pertahanan dan pause; orang yang mengidentifikasi celah dan akar masalah; orang yang berkomunikasi dengan pihak terkait; orang yang mencatat observasi, kejadian, dan garis waktu keputusan.

Saat semua orang tahu peran mereka dan sudah berlatih, Anda bisa merespons sesuai prosedur, bukan panik di saat kritis.

Pertimbangkan reaksi berantai

Asumsikan penyerang sangat berpengalaman. Celah pertama mungkin adalah umpan, atau benih untuk serangan lanjutan. Serangan bisa berupa memancing Anda melakukan hal yang salah, yang kemudian memicu celah nyata.

Pause harus melalui studi mendalam, sepenuhnya terkendali, dan tidak bisa dieksploitasi. Pause harus berupa pembekuan seluruh protokol: Anda tidak ingin dipancing untuk menjeda satu komponen, lalu membuka celah lain. Setelah menemukan akar dan vektor serangan, telusuri permukaan yang terbuka dan reaksi berantai, lalu perbaiki semuanya sekaligus.

Rotasi pengganti yang sudah dijanjikan sebelumnya

Hanya dengan mengetahui pengganti sebelumnya, rotasi bisa aman. Saya suka ide daftar pengganti yang sudah dijanjikan: ini membuat penyerang lebih sulit mengganti penjaga / dompet pengelolaan yang sehat dengan yang diretas. Ini sejalan dengan konsep “daftar putih / hitam” dalam langkah mitigasi.

Daftarkan satu alamat pengganti untuk setiap peran penting. Satu-satunya perintah rotasi yang sah adalah “Ganti peran X dengan penggantinya”. Ini juga memungkinkan evaluasi pengganti secara perlahan saat masa damai: lakukan due diligence, temui orang yang mengajukan permintaan, dan lakukan proses yang hati-hati.

Uji dengan hati-hati sebelum upgrade

Setelah mengidentifikasi akar dan ruang lingkup dampak, Anda harus merilis upgrade. Ini bisa jadi kode paling berbahaya yang akan Anda deploy: ditulis di bawah tekanan, dan menargetkan penyerang yang sudah terbukti mengetahui protokol Anda dan menemukan celah.

Tunda rilis tanpa pengujian yang cukup. Jika tidak ada waktu untuk audit, manfaatkan hubungan white hat, atau lakukan kompetisi selama 48 jam sebelum deployment untuk mendapatkan review adversarial yang segar.

Pemulihan

Tindakan cepat

Dana yang dicuri memiliki paruh waktu; begitu celah dieksekusi, dana tersebut akan cepat masuk ke jalur pencucian uang. Siapkan Chainalysis dan penyedia analisis on-chain lainnya untuk memantau alamat penyerang secara real-time, dan saat mereka melompat antar chain, beri tahu bursa untuk menandai dan melacak.

Siapkan daftar pihak ketiga yang berwenang membekukan pesan lintas chain atau deposit dalam perjalanan, termasuk bursa, pengelola jembatan lintas chain, custodians, dan lainnya.

Negosiasi

Ya, ini menyakitkan, tetapi Anda tetap harus mencoba berkomunikasi dengan penyerang. Banyak hal dalam hidup bisa diselesaikan melalui negosiasi. Tawarkan bounty white hat dengan batas waktu, dan umumkan bahwa jika dana dikembalikan penuh sebelum tenggat waktu, tidak akan ada tindakan hukum.

Jika menghadapi aktor negara, keberuntungan mungkin tipis, tetapi Anda bisa menghadapi penyerang yang kurang berpengalaman, yang hanya menemukan cara memanfaatkan Anda, dan ingin keluar dengan biaya rendah.

Sebelum melakukan ini, pastikan ada penasihat hukum di sana.

Kesimpulan

Serangan hacker tidak akan berhenti, dan seiring AI menjadi lebih pintar, serangan akan semakin banyak. Hanya membuat pertahanan “lebih tajam” tidak cukup. Kita perlu menggunakan alat yang sama dengan penyerang, melakukan red team terhadap protokol kita, terus memantau, dan membatasi kerusakan secara keras agar kita bisa bertahan dalam skenario terburuk.