Catatan Penulis ✍🏻

Pernah, orang Yunani membangun kuda kayu dan menawarkannya kepada kota Troy. Orang-orang kota melihatnya sebagai simbol perdamaian, tanpa menyadari ancaman yang tersembunyi di dalamnya.

Dengan peluncuran sukses Bitcoin ETF, semakin banyak pengguna baru dan dana yang masuk kembali ke Web3, dan pasar yang memanas tampaknya menunjukkan bahwa masa depan Web3 menuju aplikasi yang luas adalah satu langkah lebih dekat. Namun, kurangnya kebijakan dan kerentanan keamanan tetap menjadi hambatan utama untuk adopsi yang luas dari cryptocurrency.

Di dunia kripto, para peretas dapat menghasilkan keuntungan langsung dari menyerang kerentanan on-chain, kadang-kadang menghasilkan jutaan atau bahkan miliaran dolar. Sementara itu, anonimitas mata uang kripto menciptakan kondisi bagi para peretas untuk menghindari penangkapan. Pada akhir 2023, total nilai terkunci (TVL) dari semua protokol keuangan terdesentralisasi (DeFi) sekitar $4 miliar (saat ini $10 miliar), sementara hanya pada tahun 2022, total nilai token yang dicuri dari protokol DeFi mencapai $310 juta, mencakup 7% dari nilai tersebut di atas. Angka ini sepenuhnya mengilustrasikan keparahan masalah keamanan dalam industri Web3, seperti pedang Damocles yang menggantung di atas kepala kita.

Ini bukan hanya lingkungan on-chain; masalah keamanan di ujung pengguna Web3 juga signifikan. Menurut data dari Scam Sniffer, pada tahun 2023, aset 324,000 pengguna dicuri karena serangan phishing, dengan total jumlah yang dicuri sebesar $295 juta. Baik dari segi ruang lingkup maupun jumlah, dampaknya sangat parah. Tetapi dari perspektif pengguna, insiden keamanan itu sendiri memiliki kelambatan — pengguna sering merasa sulit untuk sepenuhnya menyadari keseriusan potensi risiko sebelum kecelakaan terjadi. Oleh karena itu, orang sering jatuh ke dalam "bias penyintasan," mengabaikan pentingnya keamanan.

Artikel ini membahas tantangan keamanan mendesak yang dihadapi pasar saat ini, terutama mengingat pertumbuhan cepat pengguna Web3. Dengan membedah solusi keamanan yang diusulkan oleh perusahaan seperti Goplus, kita mendapatkan pemahaman yang lebih dalam tentang bagaimana memperkuat adopsi luas Web3 melalui kepatuhan dan langkah-langkah keamanan yang ditingkatkan. Kami berpendapat bahwa keamanan Web3 mewakili pasar yang luas, namun belum dimanfaatkan senilai miliaran, dan seiring dengan terus berkembangnya basis pengguna Web3, permintaan akan layanan keamanan yang berpusat pada pengguna siap untuk pertumbuhan eksponensial.

Wawasan Awal:

1. Mengungkap Ancaman dalam Keamanan Web3: Menjelajahi Pasar yang Menguntungkan

1.1 Menjaga Aset

1.2 Memastikan Keamanan Perilaku

1.3 Meningkatkan Keamanan Protokol

1. Menganalisis Lanskap Keamanan Web3
2. Solusi Keamanan Generasi Mendatang: Menjaga Masa Depan Web3
3. Kesimpulan

Dengan total jumlah kata sebanyak 5400 kata, artikel ini seharusnya memakan waktu sekitar 12 menit untuk dibaca.

Mengungkap Ancaman dalam Keamanan Web3: Menjelajahi Pasar yang Menguntungkan:

Saat ini, produk keamanan Web3 sebagian besar tergolong dalam tiga kategori: ToB, ToC, dan ToD. Solusi B2B terutama berfokus pada audit keamanan produk, melakukan uji penetrasi, dan memberikan laporan audit untuk memperkuat pertahanan produk. Di sisi lain, solusi B2C bertujuan untuk melindungi lingkungan keamanan pengguna dengan menangkap dan menganalisis intelijen ancaman real-time dan memberikan layanan deteksi melalui API. Selain itu, alat ToD (Pengembang) ditujukan untuk pengembang Web3, menawarkan alat audit keamanan otomatis dan layanan.

Pemeriksaan keamanan adalah langkah keamanan statis yang diperlukan. Hampir setiap produk Web3 menjalani pemeriksaan keamanan, dan laporan pemeriksaan dibuat publik. Pemeriksaan keamanan tidak hanya memungkinkan komunitas untuk memverifikasi keamanan protokol untuk kedua kalinya tetapi juga berfungsi sebagai salah satu dasar bagi pengguna untuk mempercayai produk.

Namun, audit keamanan tidaklah omnipoten. Mengingat tren pasar dan narasi saat ini, kami memperkirakan bahwa tantangan terhadap lingkungan keamanan pengguna akan terus meningkat, terutama termanifestasi dalam aspek-aspek berikut:

Perlindungan Aset:

Setiap siklus pasar meluncurkan mengawali penerbitan aset baru. Dengan munculnya ERC404 dan token hibrida seperti FT dan NFT, penerbitan aset on-chain terus berkembang, menimbulkan tantangan yang semakin meningkat terhadap keamanan aset. Kompleksitas yang diperkenalkan oleh pemetaan dan integrasi berbagai jenis aset melalui kontrak pintar memperluas permukaan serangan bagi para peretas. Misalnya, para penyerang dapat mengganggu transfer aset dengan memanfaatkan mekanisme callback atau pajak tertentu, berpotensi menyebabkan serangan DoS langsung. Audit keamanan tradisional kesulitan mengatasi kompleksitas ini, membutuhkan pemantauan waktu nyata, peringatan, dan solusi intersepsi dinamis.

Memastikan Keamanan Perilaku:

Statistik dari CSIA mengungkapkan bahwa 90% serangan jaringan berasal dari upaya phishing. Tren ini berlaku di ranah Web3, di mana penyerang menargetkan kunci pribadi pengguna atau dana on-chain melalui tautan phishing atau pesan penipuan di platform seperti Discord, Gate, dan Telegram.

Interaksi on-chain memiliki kurva belajar yang curam, yang secara inheren kontra-intuitif. Bahkan tanda tangan offline pun dapat mengakibatkan kerugian jutaan dolar. Apakah kita tahu apa yang sedang kita otorisasi saat kita mengklik tanda tangan tersebut? Pada 22 Januari 2024, seorang pengguna kriptokurensi menjadi korban serangan phishing, menandatangani tanda tangan Permit dengan parameter yang salah. Setelah mendapatkan tanda tangan tersebut, peretas menggunakan alamat dompet yang terotorisasi untuk mentransfer token senilai $4,2 juta dari akun pengguna.

Kelemahan dalam lingkungan keamanan sisi pengguna juga dapat menyebabkan kerugian aset. Misalnya, ketika seorang pengguna mengimpor kunci pribadi ke aplikasi dompet berbasis Android, kunci pribadi sering tetap berada di clipboard ponsel setelah disalin. Dalam skenario ini, ketika membuka perangkat lunak berbahaya, kunci pribadi dapat dibaca dan otomatis digunakan untuk mentransfer aset dari dompet atau mencuri aset pengguna setelah jangka waktu laten.

Saat semakin banyak pengguna baru memasuki Web3, masalah keamanan di lingkungan sisi pengguna akan menjadi perhatian penting.

Meningkatkan Keamanan Protokol:

Serangan reentrancy tetap menjadi salah satu tantangan terbesar bagi keamanan protokol. Meskipun adopsi berbagai strategi pengendalian risiko, peristiwa yang melibatkan serangan tersebut masih sering terjadi. Misalnya, bulan Juli lalu, Curve mengalami serangan reentrancy yang parah akibat kecacatan kompiler dalam bahasa pemrograman kontraknya, Vyper, yang mengakibatkan kerugian hingga $60 juta, yang menimbulkan keraguan luas tentang keamanan DeFi.

Meskipun ada banyak solusi “kotak putih” untuk logika kode sumber kontrak, peristiwa seperti peretasan Curve mengungkapkan masalah yang signifikan: bahkan jika kode sumber kontrak sempurna, masalah kompilator dapat menyebabkan perbedaan antara runtime akhir dan desain yang diharapkan. Mengonversi kontrak dari kode sumber ke runtime aktual adalah proses yang menantang, dengan setiap langkah berpotensi menimbulkan masalah yang tidak terduga, dan kode sumber itu sendiri mungkin tidak sepenuhnya mencakup semua skenario potensial. Oleh karena itu, bergantung semata pada keamanan kode sumber dan tingkat kompilator jauh dari cukup; kerentanan masih dapat muncul karena masalah kompilator.

Oleh karena itu, perlindungan saat runtime akan menjadi suatu kebutuhan. Berbeda dengan tindakan pengendalian risiko yang sudah ada yang berfokus pada level kode sumber protokol dan berlaku sebelum runtime, perlindungan saat runtime melibatkan para pengembang protokol menulis aturan perlindungan saat runtime dan operasi untuk menangani situasi yang tak terduga selama runtime. Ini membantu dalam penilaian dan respons secara real-time terhadap hasil eksekusi saat runtime.

Menurut prediksi Bitwise, sebuah perusahaan manajemen aset kripto, total nilai aset kripto akan mencapai $16 triliun pada tahun 2030. Jika kita menganalisis secara kuantitatif dari perspektif penilaian risiko biaya keamanan, kejadian insiden keamanan on-chain hampir selalu mengakibatkan kerugian aset hampir 100%, sehingga faktor paparan (EF) dapat diatur menjadi 1, dan oleh karena itu harapan kerugian tunggal (SLE) adalah $16 triliun. Dengan tingkat kejadian terperinci (ARO) sebesar 1%, kita dapat memperoleh harapan kerugian tahunan (ALE) sebesar $160 miliar, yang merupakan nilai maksimum dari biaya investasi keamanan dalam aset kripto.

Dengan tingkat keparahan, frekuensi, dan pertumbuhan skala pasar insiden keamanan cryptocurrency yang tinggi, kita dapat memprediksi bahwa keamanan Web3 akan menjadi pasar senilai ratusan miliar dolar, tumbuh dengan cepat seiring dengan ekspansi pasar Web3 dan basis pengguna. Selain itu, mengingat pertumbuhan besar pengguna individu dan kekhawatiran yang semakin meningkat terhadap keamanan aset, kita dapat mengantisipasi pertumbuhan geometris dalam permintaan untuk layanan dan produk keamanan Web3 di pasar C-side, mewakili pasar samudera biru yang masih belum sepenuhnya dieksplorasi.

Menganalisis Lanskap Keamanan Web3

Dengan munculnya masalah keamanan yang terus menerus dalam Web3, ada peningkatan permintaan yang signifikan untuk alat-alat canggih yang dapat melindungi aset digital, memverifikasi keaslian NFT, memantau aplikasi terdesentralisasi, dan memastikan kepatuhan dengan peraturan anti pencucian uang. Statistik menunjukkan bahwa sumber utama ancaman keamanan yang dihadapi Web3 saat ini termasuk:

• Serangan hacker yang ditargetkan protokol
• Penipuan yang ditargetkan pada pengguna, phishing, dan pencurian kunci pribadi
• Serangan keamanan yang menargetkan blockchain itu sendiri

Untuk mengatasi risiko-risiko ini, perusahaan-perusahaan di pasar saat ini terutama fokus pada menawarkan layanan dan alat-alat dalam dua jalur utama: pengujian dan pemeriksaan ToB (Pre-Chain) dan pemantauan ToC (On-Chain). Dibandingkan dengan ToC, pemain-pemain dalam jalur ToB telah berada di pasar lebih lama dan terus melihat adanya pesaing baru. Namun, seiring dengan lingkungan pasar Web3 yang menjadi semakin kompleks, audit ToB secara bertahap kesulitan untuk mengatasi berbagai ancaman keamanan, menyoroti peningkatan pentingnya pemantauan ToC dan dengan demikian mendorong permintaannya.

• ToB:

Perusahaan-perusahaan representatif di pasar saat ini, seperti Certik dan Beosin, menawarkan layanan pengujian dan audit ToB. Perusahaan-perusahaan ini sebagian besar menyediakan layanan pada tingkat kontrak pintar, melakukan audit keamanan dan verifikasi formal kontrak pintar. Melalui metode pra-rantai, seperti analisis visualisasi dompet, analisis kerentanan kontrak pintar, dan audit keamanan kode sumber, perusahaan-perusahaan ini dapat mendeteksi kerentanan kontrak pintar dalam beberapa tingkat dan mengurangi risiko.

• ToC

Pemantauan ToC dilakukan on-chain, melibatkan analisis risiko kode kontrak pintar, status on-chain, metadata transaksi pengguna, simulasi transaksi, dan pemantauan status. Dibandingkan dengan ToB, perusahaan keamanan sisi C di ruang Web3 didirikan relatif lebih lambat, tetapi mereka telah menyaksikan pertumbuhan yang luar biasa. Layanan yang diberikan oleh perusahaan keamanan Web3 seperti GoPlus secara bertahap diterapkan di berbagai ekosistem dalam Web3.

Sejak didirikan pada Mei 2021, GoPlus telah mengalami pertumbuhan pesat dalam panggilan harian API, dari beberapa ratus kueri per hari awalnya hingga dua puluh juta panggilan per hari selama puncak pasar. Grafik berikut menggambarkan perubahan panggilan API Risiko Token dari tahun 2022 hingga 2024, memperlihatkan tingkat pertumbuhan kepentingan GoPlus dalam domain Web3.

Modul data pengguna yang diperkenalkan oleh GoPlus telah menjadi bagian integral dari berbagai aplikasi Web3, memainkan peran penting di situs pasar teratas seperti CoinMarketCap (CMC), CoinGecko, Dexscreener, Dextools, pertukaran terdesentralisasi terkemuka seperti Sushiswap, Jaringan Kyber, dan dompet seperti Metamask Snap, Bitget Wallet, Safepal.

Selain itu, modul ini telah diadopsi oleh perusahaan layanan keamanan pengguna seperti Blowfish, Webacy, dan Kekkai, menunjukkan peran penting modul data keamanan pengguna GoPlus dalam menentukan infrastruktur keamanan dari ekosistem Web3 dan posisinya yang signifikan dalam platform terdesentralisasi kontemporer.

GoPlus pada dasarnya menawarkan layanan API berikut, menyediakan wawasan komprehensif tentang data keamanan pengguna melalui analisis data yang ditujukan dari beberapa modul kunci. Hal ini bertujuan untuk mencegah ancaman keamanan yang berkembang dan mengatasi tantangan-tantangan multiaspek keamanan Web3.

• Token Risk API: Menilai risiko yang terkait dengan berbagai mata uang kripto.
• API Risiko NFT: Menilai risiko yang terkait dengan berbagai NFT.
• API Alamat Jahat: Mengidentifikasi dan menandai alamat yang terkait dengan penipuan, phishing, dan kegiatan jahat lainnya.
• dApp Security API: Menyediakan pemantauan waktu nyata dan deteksi ancaman untuk aplikasi terdesentralisasi.
• API Kontrak Persetujuan: Mengelola dan memeriksa izin panggilan kontrak pintar.

Di jalur sisi C, kami juga telah mengamati Harpie. Harpie berfokus pada melindungi dompet Ethereum dari pencurian dan berkolaborasi dengan perusahaan seperti OpenSea dan Coinbase. Mereka telah melindungi ribuan pengguna dari penipuan, serangan peretasan, dan pencurian kunci pribadi. Pendekatan produk mereka mencakup pemantauan dan pemulihan. Mereka memantau dompet untuk mengidentifikasi kerentanan atau ancaman, segera memberi tahu pengguna setelah penemuan, dan membantu dalam perbaikan. Mereka merespons dengan cepat pengguna yang menjadi korban serangan peretasan atau penipuan, membantu menyelamatkan aset mereka. Upaya mereka telah sangat efektif dalam meningkatkan keamanan dompet Ethereum.

Selain itu, ScamSniffer menyediakan layanan dalam bentuk plugin browser. Produk ini melakukan pemeriksaan real-time melalui mesin deteksi situs web berbahaya dan beberapa sumber data yang terdaftar dalam daftar hitam sebelum pengguna membuka tautan, melindungi mereka dari dampak situs web berbahaya. Selama transaksi online, ia mendeteksi penipuan seperti phishing untuk melindungi keamanan aset pengguna.

Solusi Keamanan Generasi Berikutnya: Menjaga Masa Depan Web3

Untuk mengatasi masalah seperti keamanan aset, keamanan perilaku, keamanan protokol, dan kepatuhan on-chain, kami telah menyelami solusi yang ditawarkan oleh GoPlus dan Artela. Tujuan mereka adalah memahami bagaimana mereka mendukung aplikasi Web3 berskala besar dengan memelihara lingkungan keamanan pengguna dan lingkungan operasi on-chain.

1. Lingkungan Keamanan Pengguna Infrastruktur

Keamanan transaksi blockchain membentuk landasan keamanan untuk aplikasi Web3 berskala besar. Dengan seringnya serangan hacker on-chain, serangan phishing, dan rug pulls, memastikan pelacakan transaksi on-chain, identifikasi perilaku mencurigakan on-chain, dan jaminan keamanan profil pengguna sangat penting. Berdasarkan hal ini, GoPlus telah meluncurkan platform SecWareX, platform deteksi keamanan pribadi komprehensif pertama untuk Web3.

SecWareX adalah produk keamanan pribadi Web3 yang dibangun pada protokol keamanan pengguna SecWare, menyediakan solusi keamanan komprehensif satu atap yang mencakup identifikasi waktu nyata serangan runtime on-chain, peringatan dini, intersepsi tepat waktu, dan penyelesaian sengketa. Ini juga mendukung strategi intersepsi keamanan yang disesuaikan untuk kontrak penerbitan aset yang disesuaikan dengan skenario tertentu.

Untuk pendidikan keamanan perilaku pengguna, SecWareX memperkenalkan program Learn2Earn, dengan cerdas menggabungkan pengetahuan keamanan belajar dengan insentif token, memungkinkan pengguna meningkatkan kesadaran keamanan mereka sambil mendapatkan imbalan yang nyata.

1. Solusi Kepatuhan Dana

Anti-pencucian uang (AML) adalah salah satu kebutuhan yang paling mendesak di blockchain publik. Pada rantai publik, menganalisis faktor-faktor seperti sumber transaksi, perilaku yang diharapkan, jumlah, dan frekuensi dapat membantu mengidentifikasi perilaku yang mencurigakan atau abnormal dengan cepat. Hal ini membantu pertukaran terdesentralisasi, dompet, dan lembaga pengatur untuk mendeteksi aktivitas ilegal potensial seperti pencucian uang, penipuan, dan perjudian, serta mengambil tindakan tepat waktu seperti peringatan, pembekuan aset, atau pelaporan kepada penegak hukum untuk memperkuat kepatuhan DeFi dan aplikasi skala besar.

Dengan pengayaan perilaku on-chain yang terus menerus, Know Your Transaction (KYT) untuk aplikasi terdesentralisasi akan menjadi prasyarat yang tak terhindarkan untuk aplikasi berskala besar. API Alamat Jahat GoPlus sangat penting bagi pertukaran, dompet, dan layanan keuangan yang beroperasi di Web3 untuk mematuhi persyaratan regulasi dan memastikan operasi mereka, menyoroti hubungan intrinsik antara kepatuhan regulasi dan kemajuan teknologi di bidang Web3. Ini menekankan pentingnya pemantauan dan adaptasi terus menerus untuk menjaga integritas ekosistem dan keamanan pengguna.

1. Protokol Keamanan On-Chain

Artela adalah rantai publik Layer1 pertama yang mendukung perlindungan runtime. Melalui desain EVM++, modul ekstensi asli terintegrasi secara dinamis dari Artela yang disebut Aspek mendukung penambahan logika ekstensi pada berbagai titik dalam siklus transaksi, mencatat keadaan eksekusi dari setiap panggilan fungsi.

Ketika panggilan reentrant yang mengancam terjadi selama eksekusi fungsi callback, Aspect mendeteksi dan segera menarik transaksi untuk mencegah penyerang mengeksploitasi kerentanan reentrancy. Sebagai contoh, dalam melindungi terhadap serangan reentrant pada kontrak Curve, Artela menyediakan solusi keamanan tingkat protokol berbasis rantai untuk berbagai aplikasi DeFi.

Seiring kompleksitas protokol dan keragaman kompiler meningkat, pentingnya solusi perlindungan runtime on-chain, berbeda dengan pemeriksaan statis logika kode kontrak dalam solusi “kotak putih”, semakin terasa.

Kesimpulan

Pada 10 Januari 2024, SEC secara resmi mengumumkan persetujuan atas pencatatan dan perdagangan ETF Bitcoin spot, menandai langkah paling signifikan menuju adopsi aset kripto secara luas. Saat lingkungan kebijakan semakin matang dan langkah-langkah keamanan memperkuat, kita akan dengan pasti menyaksikan kedatangan aplikasi Web3 berskala besar. Jika aplikasi Web3 berskala besar adalah gelombang-gelombang yang bergelora, maka keamanan Web3 adalah bendungan kokoh yang dibangun untuk melindungi aset pengguna, menahan badai-badai eksternal, dan memastikan semua orang dapat melintasi setiap gelombang dengan aman.

Penyangkalan：

1. Artikel ini dicetak ulang dari [BuidlerDAO], Semua hak cipta adalah milik penulis asli [BuidlerDAO]. Jika ada keberatan terhadap pencetakan ulang ini, silakan hubungi Gate Belajartim, dan mereka akan menanganinya dengan cepat.
2. Penafian Tanggung Jawab: Pandangan dan opini yang terdapat dalam artikel ini semata-mata milik penulis dan tidak merupakan nasihat investasi apapun.
3. Terjemahan artikel ke dalam bahasa lain dilakukan oleh tim Gate Learn. Kecuali disebutkan, menyalin, mendistribusikan, atau menjiplak artikel yang diterjemahkan dilarang.