Bagaimana Auditor Mendeteksi Scam Tarik Permadani DeFi: Dapatkah Anda Melakukannya Sendiri?

Peretas mencuri lebih banyak mata uang kripto dari platform keuangan terdesentralisasi (DeFi) daripada sebelumnya pada tahun 2022. Hampir 98% dari semua token yang diluncurkan pada flagman DeFi DEX Uniswap diidentifikasi sebagai penarikan permadani.

Yang terbaru, Defrost Finance, datang sebagai mimpi buruk Natal bagi investor kripto, memusnahkan $12 juta uang mereka. 

Sebagian besar peretasan pada platform DeFi terjadi melalui pelanggaran keamanan dan eksploitasi kode. Proyek yang akhirnya menjadi penipuan memiliki masalah keamanan serius yang dibiarkan begitu saja, atau mungkin, tidak terdeteksi dengan sengaja. Untuk mencegah risiko serupa, audit keamanan DeFi sangat penting.

Di sini kita akan mengetahui lebih lanjut tentang audit ini, cara pelaksanaannya, dan apakah audit DeFi dapat dilakukan sendiri. 

Proyek DeFi diimplementasikan sebagai kontrak pintar yang kompleks dan dapat dijalankan sendiri, seringkali transparan dan bersumber terbuka. Mereka bertindak sebagai perjanjian hukum antara dua pihak. Dan karena tidak ada entitas terpusat yang mendukungnya, bahkan bug kecil dalam kontrak pintar pun dapat menyebabkan konsekuensi yang tidak dapat diubah.

Ini berarti tidak boleh ada ruang untuk kesalahan dalam kontrak pintar. Audit keamanan kontrak pintar DeFi dimaksudkan untuk memastikan hal itu.

Audit keamanan memeriksa kode kontrak pintar dan bagaimana kode tersebut mendasari syarat dan ketentuan kontrak. Analisis mendetail mencari potensi kelemahan keamanan, pelanggaran, dan bug sistem dalam kode, sehingga tidak dapat dieksploitasi. 

Audit keamanan, biasanya dilakukan oleh pihak ketiga, sangat penting untuk memastikan keamanan dan kredibilitas proyek serta menjaga ekosistem DeFi yang sehat.

Penarikan permadani adalah jenis penipuan keluar yang beroperasi dalam model sederhana: pengembang membuat protokol DeFi yang tampak sah, menjalankan dan mempromosikannya hingga proyek menarik cukup likuiditas, lalu menarik dananya dan menghilang. 

Ya, tidak selalu. Kadang-kadang, penipu menyalahkan peretas karena mencuri likuiditas dan bertahan dalam bisnis hingga waktu berikutnya.

Untuk menerapkan serangan, penipu menyematkan kode berbahaya ke dalam kontrak pintar. Mereka memodifikasinya untuk mencegah investor menjual: menetapkan biaya penjualan maksimum (100%), pemilik token daftar hitam, dan mengunci uang pengguna ke dalam kontrak.

Beberapa kontrak pintar melibatkan pengkodean "pintu belakang" jahat ke dalamnya, yang memungkinkan pengembang untuk menarik likuiditas.  

Seringkali, kontrak pintar yang dimodifikasi tidak diverifikasi oleh auditor keamanan dan disembunyikan dari mata publik. Karena sebagian besar kontrak on-chain tersedia untuk umum, kurangnya transparansi GitHub mungkin bendera merah. 

Industri blockchain dan kontrak pintar masih relatif muda, begitu juga dengan sektor audit kontrak pintar. Banyak perusahaan berspesialisasi dalam audit keamanan kontrak pintar, mengembangkan alat mereka dan membentuk pengetahuan mereka. 

Standar industri keamanan kontrak pintar dan praktik terbaik sedang berkembang. Meskipun demikian, beberapa metode audit yang cukup standar digunakan oleh para pemain industri audit DeFi.

Biasanya penyelidikan mereka dimulai dengan evaluasi kontrak pintar. Auditor menganalisis whitepaper, logika bisnis, dan spesifikasi teknis protokol DeFi untuk memperkirakan potensi risiko dan fitur keamanan.

Kemudian mereka mengalihkan perhatian mereka ke kode kontrak pintar. Ini adalah saat peninjauan dan analisis kode dimulai. 

Auditor memeriksa kode baris demi baris, mencari kerentanan pada berbagai tingkat: kerentanan kritis yang dapat mengakibatkan kebocoran likuiditas; tingkat menengah, yang sebagian dapat merusak kontrak pintar; dan permasalahan tingkat rendah, yang paling sedikit mempengaruhi keamanan kontrak.

Mereka menerapkan sejumlah teknik audit, termasuk analisis otomatis dan manual. Keduanya memiliki pro dan kontra.

Audit keamanan otomatis berarti memindai kode dengan perangkat lunak analisis otomatis, yang mencari bug pada database kerentanan yang diketahui dan mengidentifikasi lokasi tepatnya dalam kode.

Audit berbasis perangkat lunak biasanya dilakukan sebelum analisis manual untuk mendeteksi kesalahan yang mungkin diabaikan oleh manusia. Hal ini lebih cepat dan tidak memakan waktu lama, namun pada saat yang sama, hal ini mungkin tidak selalu menyadari konteksnya sehingga melewatkan kerentanan tertentu. 

Analisis kode manual adalah raja dalam audit kontrak pintar dan merupakan bagian terpenting dari audit keamanan kode pintar yang komprehensif dan akurat. Hal ini dilakukan oleh setidaknya dua ahli terpisah yang memeriksa kode baris demi baris.

Tujuannya adalah untuk memverifikasi bahwa setiap detail dalam spesifikasi proyek diimplementasikan ke dalam smart contract dan tidak ada yang melanggar perilaku aslinya. 

Auditor memeriksa kode untuk mencari perilaku yang tidak diinginkan dan tidak terduga, masalah keamanan penting, dan kerentanan seperti masuk kembali, manipulasi data, pinjaman kilat, dan manipulasi lain yang mungkin diterapkan saat kontrak pintar berinteraksi dengan pihak lain.

Selain itu, audit manual menjalankan simulasi untuk mengevaluasi seberapa baik kontrak pintar proyek DeFi merespons ancaman yang tidak teridentifikasi dan seberapa mampu ia mempertahankan diri dari ancaman tersebut. 

Di bagian akhir analisis kode manual, auditor membandingkan logika smart contract dengan deskripsinya di whitepaper proyek. 

Setelah semua kerentanan diidentifikasi dan diperbaiki, auditor menjalankan proses pemeriksaan ulang untuk memastikan kode pintar berjalan seperti yang diharapkan.

Terakhir, setelah audit keamanan selesai, auditor menyiapkan laporan komprehensif. Di sinilah mereka memberikan umpan balik terperinci tentang apa yang mereka temukan. Biasanya laporan mereka dilengkapi dengan rekomendasi tentang bagaimana kelemahan kode yang terdeteksi dapat diperbaiki untuk mengurangi keamanan proyek. 

Kontrak pintar adalah inovasi yang relatif baru. Standar keamanan mereka pun berkembang. Ini berarti tidak ada aturan emas yang menjamin keamanan kontrak pintar secara total.

Selain itu, tidak semua firma audit kontrak pintar itu sama, dan tidak semua audit menjamin keamanan. Auditor mungkin memiliki tingkat keahlian yang berbeda, tujuan yang berbeda, dan biaya yang berbeda.

Belum lagi fakta bahwa pasar penuh dengan pengembang samar yang melakukan audit dan masih mendapatkan keuntungan dari nama perusahaan terhormat. Inilah yang terjadi pada Peckshield, sebuah perusahaan keamanan blockchain dan analisis data, lebih dari setahun yang lalu.

Situasi seperti ini cukup umum terjadi di ruang cryptocurrency. Mereka mengambil nama auditor yang sah dan terhormat dan memasukkannya ke dalam whitepaper mereka, mengatakan bahwa protokol mereka telah diaudit.

Satu-satunya cara untuk menghindari kasus seperti ini adalah dengan memeriksa konfirmasi pada saluran asli auditor. Jika tidak ada, kemungkinan besar nama auditor telah dicuri. 

Selalu periksa portofolio kliennya untuk mengevaluasi apakah auditor tersebut solid dan bereputasi baik. Google kasus-kasus tersebut untuk memverifikasi catatan pengalaman mereka, dan memeriksa apakah ada proyek yang diaudit yang mengalami gangguan atau serangan lainnya.

Dengan begitu banyak peretasan dan permadani di ruang kripto, sangatlah naif untuk membayangkan bahwa proyek DeFi aman tanpa melihatnya lebih detail. Audit kontrak pintar memberikan lapisan keamanan yang penting. 

Namun, bahkan yang paling profesional pun tidak menjamin bahwa proyek DeFi benar-benar bebas bug. Kontrak pintar itu rumit. Hal ini memerlukan analisis, keahlian, alat yang terperinci dan komprehensif, dan yang paling penting, lebih dari sepasang mata.