Dalam lanskap Web3 yang terus berkembang, keamanan tetap menjadi perhatian utama bagi perusahaan crypto. Sebagian besar perusahaan ini sangat bergantung pada audit smart contract sebelum implementasi, berkeyakinan bahwa audit semacam itu akan melindungi proyek mereka dan dana klien dari peretasan. Namun, data terbaru mengungkapkan kebenaran yang mengejutkan: 90% dari smart contract yang diretas telah menjalani audit sebelum implementasi. Statistik ini menyoroti kesenjangan kritis dalam pendekatan keamanan Web3 saat ini.
Diaudit, Namun Diretas: Peran Kritis Pemantauan Real-Time dalam Web3
Artikel ini diterbitkan lebih dari setahun yang lalu. Beberapa informasi mungkin sudah tidak terkini.
DITULIS OLEH
BAGIKAN
Opini editorial berikut ditulis oleh Michael Pearl, VP Go-To-Market, Cyvers.ai.
Peran dari Audit Smart Contract
Audit smart contract tidak diragukan lagi merupakan elemen penting dalam arsitektur keamanan proyek crypto apapun. Audit ini membantu mengidentifikasi kerentanan tipikal dan bug terkait keamanan sebelum kontrak diimplementasikan. Dilakukan beberapa audit oleh berbagai perusahaan adalah praktik umum yang bertujuan untuk memastikan bahwa setiap potensi masalah tertangkap dan diatasi.
Namun, meskipun audit mengurangi titik akhir dan probabilitas peretasan, audit tidak membuat sistem menjadi kedap air. Audit hanyalah bagian dari gambaran yang lebih besar. Mereka dapat menemukan kerentanan umum, tetapi mereka tidak dapat mengantisipasi vektor serangan baru yang lebih canggih yang mungkin muncul setelah implementasi. Oleh karena itu, bergantung hanya pada audit tidak sama dengan melakukan segala yang mungkin untuk mengamankan sistem.
Studi Kasus: Diaudit, Lalu Diretas
Daftar proyek yang diretas, meskipun smart contract mereka telah diaudit—sering kali lebih dari sekali dan oleh lebih dari satu penyedia audit—sayangnya sangat panjang. Beberapa contoh terbaru menggambarkan perbedaan antara harapan dan hasil sebenarnya.
- Dough Finance diretas pada 12 Juli tahun ini dan kehilangan $1,8M. Kontrak proyek ini diaudit oleh setidaknya satu perusahaan audit pada November 2023 dan bahkan diberi label sebagai “risiko rendah” oleh auditor.
- UwU Lend diretas dua kali, pada 10 dan 13 Juni tahun ini, dan kehilangan $19,3M. Smart contract perusahaan ini diaudit oleh setidaknya satu perusahaan audit.
- Radiant Capital diretas pada 3 Januari tahun ini dan kehilangan $4,5M. Perusahaan mengklaim bahwa kontrak mereka telah menjalani audit oleh empat perusahaan audit yang berbeda, yang digambarkan sebagai “terbaik di dunia” dalam dokumentasi perusahaan.
- Smart contract Euler Finance dieksploitasi pada 13 Mei tahun lalu, mengakibatkan kerugian sebesar $197M. Menurut perusahaan, kontrak mereka diaudit oleh empat perusahaan audit terkemuka.
- Protokol DeFi LI.FI dieksploitasi pada 16 Juli tahun ini dan kehilangan sekitar $11M. Dua tahun sebelum peretasan, perusahaan menerbitkan posting blog yang dengan bangga menyatakan bahwa mereka diaudit oleh dua penyedia audit.
Elemen yang Hilang: Pemantauan Real-Time dan Penyaringan Pra-Transaksi
Banyak perusahaan mengabaikan pentingnya pemantauan real-time dan penyaringan pra-transaksi untuk penilaian risiko. Komponen-komponen ini penting untuk strategi keamanan yang komprehensif.
Pemantauan Real-Time menyediakan pengawasan terus-menerus dari smart contract yang telah diimplementasikan, mendeteksi dan merespons masalah keamanan, penipuan, penipuan, dan insiden berbahaya lainnya seiring terjadinya. Pendekatan proaktif ini secara signifikan mengurangi jendela peluang bagi peretas dan memungkinkan tindakan segera untuk mengurangi potensi kerusakan.
Penyaringan Pra-Transaksi menilai risiko transaksi sebelum dieksekusi, membantu menghentikan pelaku jahat dan mencegah aktivitas penipuan. Dengan mengintegrasikan proses penyaringan ini, perusahaan dapat memastikan bahwa hanya transaksi yang sah yang diproses, lebih meningkatkan postur keamanan mereka.
Perlunya Mekanisme Manajemen Krisis
Selain pemantauan real-time dan penyaringan pra-transaksi, sangat penting untuk menerapkan mekanisme manajemen krisis seperti fungsi jeda dan pemutus sirkuit lainnya. Ini bisa otomatis atau manual dan penting untuk merespons secara real-time terhadap peringatan dari sistem pemantauan dan deteksi.
Kesimpulan
Audit smart contract adalah bagian penting dari keamanan Web3, tetapi mereka tidak cukup sendiri. Untuk benar-benar mengamankan proyek crypto, perusahaan harus mengadopsi pendekatan holistik yang mencakup pemantauan real-time, penyaringan pra-transaksi, dan mekanisme manajemen krisis yang kuat. Dengan mengintegrasikan langkah-langkah keamanan canggih ini, perusahaan crypto dapat secara signifikan meningkatkan postur keamanan mereka, melindungi proyek dan dana klien mereka dari ancaman yang terus berkembang di ruang Web3.
Apa pendapat Anda tentang perspektif dan opini eksekutif Cyvers.ai? Bagikan pemikiran dan pendapat Anda tentang subjek ini di bagian komentar di bawah.
