Halo semua, saya Jamie, perusahaan kami menyediakan layanan outsourcing perangkat lunak Web3 global 🤝
Ketika brankas bank tak tertembus, perampok tidak lagi mencoba meledakkan bank, melainkan memilih untuk menyandera sang direktur yang memegang kunci.
Merefleksikan setahun terakhir, mimpi buruk keamanan terbesar di dunia DeFi sedang mengalami pergeseran fundamental.
Kalau kamu masih berpikir para hacker itu begadang mencari celah kode di ribuan smart contract, itu salah besar.
Sejak awal 2025, skala kerugian mencapai jutaan hingga miliaran dolar akibat serangan hacker tingkat bencana, dan sebagian besar tidak lagi karena kesalahan kode, melainkan karena **"proses otentikasi dan tanda tangan yang ditembus"**.
Sederhananya, tidak ada masalah dengan kode, tetapi 'orang' yang mengendalikan hak akses kode, telah terjatuh.
Ini menandakan pergeseran total di medan perang keamanan Web3, dan mengumumkan bahwa garis pertahanan keamanan tradisional yang sangat diandalkan industri dalam beberapa tahun terakhir sedang gagal.
Satu, pergeseran ancaman: tidak lagi bug kode, tetapi 'jatuhnya manusia'.
Untuk memahami perubahan ini, mari kita lihat sebuah kasus yang sangat berdarah - insiden pencurian protokol Drift.
Pada 1 April 2026, protokol Drift dalam waktu dua belas menit, dikuasai hacker dan menguras 286 juta dolar.
Review pasca kejadian membuat kita terkejut:
Tidak ada bug kontrak.
Tidak menggunakan teknik hacking yang baru dan aneh.
Alasan sebenarnya: Penyerang menggunakan rekayasa sosial (menyamar, menipu kepercayaan, dll.), memanfaatkan anggota inti tim Drift untuk 'menandatangani' serangkaian transaksi yang tampak normal. Kemudian, hacker menggunakan tanda tangan ini untuk menambahkan token sampah yang dipalsukan ke dalam whitelist dan segera menguras kolam dana.
💡 【Analisis】Rekayasa sosial (Social Engineering): Hacker tidak menyerang firewall komputer, tetapi menyerang 'manusia'.
Misalnya, menyamar sebagai investor yang mengirimi kamu rencana bisnis berisi virus, atau menyamar sebagai rekan kerja yang meminta kamu mengklik tautan otorisasi.
Di dunia Web3, mendapatkan orang yang menguasai kunci pribadi inti jauh lebih mudah daripada meretas kriptografi blockchain.
Kasus ini mengguncang seluruh industri: kontrak pintar memberi administrator (Admin) terlalu banyak kekuasaan. Selama mendapatkan tanda tangan administrator, hacker dapat berbuat sesuka hati dalam sistem.
Dua, ilusi keamanan yang fatal: 'multi-tanda tangan' dan 'penguncian waktu' sudah tidak cukup.
Selama ini, industri DeFi dibangun di atas asumsi yang tampak masuk akal: dompet multi-tanda tangan administrator (Admin Multisig) adalah absolut dapat dipercaya dan aman.
💡 【Analisis】Multi-tanda tangan (Multisig) dan penguncian waktu (Timelock):
Multi-tanda tangan: Seperti rekening bersama perusahaan, penggunaan dana memerlukan setidaknya 3 dari 5 eksekutif untuk menandatangani dengan U-shield. Digunakan untuk mencegah tindakan jahat seorang individu.
Penguncian waktu: Setiap perubahan besar (seperti peningkatan sistem, pemindahan dana), bahkan setelah ditandatangani, tidak dapat segera berlaku, harus diumumkan di blockchain selama 24 jam atau 48 jam. Waktu ini adalah 'ruang darurat' bagi komunitas, jika ada yang mencurigakan, pengguna dapat segera menarik dana.
Banyak proyek begitu menerapkan multi-tanda tangan, merasa aman seperti gunung. Beberapa proyek bahkan demi mengejar 'efisiensi', tidak menambahkan penguncian waktu. Hasilnya, begitu komputer anggota multi-tanda tangan tertentu dikontrol oleh hacker, tindakan yang menghancurkan akan segera berlaku, dan aliran dana tidak memiliki 'batasan kecepatan'.
Multi-tanda tangan dan penguncian waktu adalah standar keamanan yang sangat baik, tetapi tidak seharusnya menjadi 'satu-satunya pertahanan' dalam sistem keamanan.
Pada tahun 2026, asumsi 'multi-tanda tangan absolut aman' sudah tidak berlaku.
Tiga, jalan keluar: membangun filosofi dasar 'DeFi defensif'.
Kita perlu melampaui takhayul multi-tanda tangan, dan mengadopsi cara berpikir yang sepenuhnya baru - DeFi defensif (Defensive DeFi).
Inti dari cara berpikir ini, dibangun di atas asumsi yang sangat pesimis tapi sangat realistis:
👉 Saat merancang sistem, harus diasumsikan bahwa kredensial multi-tanda tangan administrator pasti akan ditembus oleh hacker. Ini hanyalah masalah 'waktu', bukan 'apakah itu akan terjadi'.
Kedengarannya radikal?
Namun, dalam mengejar kecepatan, izin tanpa batas, dan efisiensi dana di dunia Web3, kita sangat kekurangan mekanisme 'checks and balances'. DeFi yang defensif bukan berarti menghilangkan administrator, tetapi harus **'menempatkan gajah di dalam kandang'** - secara signifikan membatasi apa yang dapat dilakukan oleh administrator.
Dengan cara ini, bahkan jika direktur bank diculik besok, para penculik tidak dapat mengosongkan seluruh brankas sekaligus.
Empat, pertanyaan mendalam: Bagaimana cara menguji daya tahan protokol DeFi?
Jika kamu seorang pengguna, investor, atau auditor institusi, sebelum menyetor dana ke dalam protokol DeFi mana pun, pastikan untuk menanyakan empat 'pertanyaan mendalam' berikut kepada tim proyek.
Empat pertanyaan ini adalah batu uji untuk menguji apakah arsitektur sistem memiliki daya tahan.
1. Jika multi-tanda tangan administrator dikontrol hacker besok, apakah uang pengguna akan langsung ditransfer?
Ini adalah masalah yang paling fatal.
Tingkat kesempurnaan (Holy Grail) adalah: protokol di tingkat kode telah sepenuhnya mengunci hak akses administrator untuk menyentuh dana pengguna. Jika sebuah tanda tangan yang telah ditembus dapat menguras brankas dalam satu transaksi, itu adalah bencana.
Prinsip inti: Hak untuk mentransfer dana dan hak untuk memperbarui kode sistem, tidak boleh dikuasai oleh kelompok penandatangan yang sama. Harus ada pemisahan kekuasaan.
2. Apakah aliran dana terkunci ketat di dalam 'whitelist'?
💡 【Analisis】Panggilan kontrak-ke-kontrak (Contract-to-contract calls): Dana tidak boleh ditransfer ke dompet pribadi biasa, tetapi hanya dapat mengalir antar beberapa kontrak pintar yang telah diaudit secara ketat.
Dalam protokol yang dirancang dengan baik, rute aliran dana seharusnya 'hard-coded' dalam program. Bahkan jika administrator mendapatkan kunci pribadi, mereka hanya dapat memerintahkan 'memindahkan uang dari brankas A ke brankas B (alamat whitelist)', dan tidak dapat memindahkan uang ke dompet pribadi hacker.
3. Apakah ada 'batasan' dan 'batas kecepatan' yang dipaksakan di blockchain?
💡 【Analisis】Pembatasan laju (Rate Limiting): Seperti batas transfer harian kartu bank yang sebesar 50 juta.
Ini adalah strategi penyelamatan yang paling diremehkan dalam DeFi!
Batas maksimum transfer tunggal, batas maksimum transfer harian, batas kumulatif keluar, aturan-aturan ini harus ditegakkan secara paksa oleh kontrak pintar di blockchain, tidak boleh hanya mengandalkan janji lisan tim. Batasan (Caps) meskipun terlihat tidak keren, adalah benteng terakhir saat bencana melanda. Bahkan jika semua kontrol sebelumnya gagal, hacker hanya dapat mencuri 5% setiap harinya, sehingga memberi tim waktu yang sangat berharga untuk mencabut kabel dan memulihkan kerugian.
4. Saat mencetak uang (Mint), apakah ada 'verifikasi jaminan' yang real-time?
Banyak bencana (seperti insiden Resolv) berasal dari hacker yang mendapatkan akses dan kemudian mencetak 'uang palsu' secara gila untuk menguras kolam. Prinsip inti: Setiap kali mencetak (Mint) token baru, sistem harus melakukan verifikasi otomatis yang dingin melalui oracle (Oracle, mesin penawaran waktu nyata) - memastikan nilai jaminan yang disimpan, jauh lebih besar dari nilai token yang dicetak. Untuk semua protokol yang memungkinkan administrator mencetak uang secara bebas tanpa verifikasi aset waktu nyata, segera jauhi!
Lima, setengah yang tidak bisa diabaikan: operasi keamanan.
Pertanyaan 'empat pertanyaan mendalam' yang dibahas di atas adalah tentang desain arsitektur sistem. Dan pilar penting lainnya dari DeFi defensif adalah operasi keamanan (OpSec).
💡 【Analisis】OpSec (Operational Security): Mengacu pada norma keamanan di dunia fisik. Misalnya: Siapa yang menyimpan kunci pribadi? Apakah kunci pribadi ada di dompet dingin yang tidak terhubung jaringan? Apakah penandatanganan dilakukan di lingkungan jaringan yang sepenuhnya terisolasi dan bebas dari virus?
Inti dari OpSec adalah memperluas 'prinsip hak akses minimum' ke dalam struktur organisasi: memastikan bahwa memecahkan satu titik akses, satu komputer, atau satu antarmuka jaringan tidak cukup untuk menyentuh kunci dana inti yang sebenarnya. Selain itu, harus ada mekanisme pemantauan dan respons terhadap perubahan yang aktif 24 jam, untuk memastikan tindakan pengelolaan yang sangat berbahaya seperti 'penguncian waktu dihapus diam-diam' dapat segera terdeteksi sebelum berlaku.
Kesimpulan: Bersama-sama meningkatkan ambang keamanan industri.
Kita perlu beralih ke paradigma baru: mengakui kelemahan manusia, dan menggunakan kode yang tidak dapat diubah untuk membatasi peny滥gunaan hak akses.
Jika kita semua dapat bertahan pada pemikiran 'multi-tanda tangan pasti akan ditembus', maka kemungkinan hacker berhasil dan besarnya kerugian akan dapat ditekan dalam batas yang dapat dikendalikan.
Kondisi industri saat ini adalah: setiap proyek yang serius dapat menjawab dengan baik salah satu dari 'empat pertanyaan mendalam' di atas, tetapi hampir tidak ada yang dapat dengan percaya diri menjawab semua empat dengan sempurna.
Baik pengembang maupun ahli keamanan, kita sedang berlomba dengan penyerang yang semakin pintar (bahkan hacker AI).
⚠️ 【Pernyataan】Konten artikel ini hanya untuk menjelaskan teknologi dasar dan model ekonomi, tidak merupakan saran investasi. Data berasal dari internet. Perdagangan derivatif kripto memiliki risiko yang sangat tinggi, selalu evaluasi kemampuan kamu untuk menanggung risiko, dan buat keputusan dengan hati-hati.
🌹 Jika kamu menyukai analisis mendalam ini, silakan beri suka, ikuti, komentar, dan bagikan! Dukunganmu adalah motivasi terbesar kami untuk terus menghasilkan konten.
