Pasar mata uang kripto telah berkembang, demikian juga sejumlah kelompok yang ingin mengeksploitasi keuangan terdesentralisasi (DeFi) yang rentan untuk keuntungan mereka sendiri. Pada awal bulan ini, kasus peretasan Wormhole tercatat sebagai penyerangan DeFi terbesar pada 2021 dengan aset senilai $321 juta lenyap karena peretas menyerang kerentanan verifikasi tanda tangan.
Eksploitasi semacam ini menjadi semakin canggih seiring perkembangan industri kripto.
HashEx, salah satu perusahaan keamanan blockchain, menyelidiki taktik peretas ketika mereka menyerang kerentanan protokol DeFi. Selama beberapa tahun terakhir, HashEx telah mengaudit lebih dari 700 smart contract DeFi yang mengamankan dana investor senilai lebih dari $2 miliar. Trader Joe merupakan salah satu proyek penting yang menggunakan jasa audit HashEx. Trader Joe adalah bursa terdesentralisasi (DEX) yang berdiri di atas blockchain Avalanche.
Dmitry Mishunin, pendiri dan direktur utama HashEx, menjelaskan bagaimana cara perusahaan meningkatkan proses audit mereka untuk melindungi pengguna kripto dari tindakan eksploitasi.
“Secara tradisional, sekelompok auditor secara manual menguji logika smart contract; mereka mencoba membayangkan beberapa nilai input, tetapi ini dapat mematahkan logika mereka. Di sisi lain, audit secara manual dapat terlaksana dengan baik jika auditor memiliki pengalaman yang tinggi,” jelas Mishunin dalam sebuah wawancara bersama CoinTelegraph.
Baca juga Proyek DeFi Berbasis Binance dan Ethereum Ini Diretas hingga $14,4 Juta, Menurut Laporan PeckShield
Metode audit kuno terdiri dari pemeriksaan manual dan pengujian otomatis terhadap kode yang mendasarinya.
Mishunin menambahkan bahwa masalah kerentanan tidak dapat diidentifikasikan kemudian diuji, karena kerentanan tersebut tidak berasal dari logika kode smart contract. Ada kemungkinan besar bahwa kerentanan berasal dari Ethereum Virtual Machine (EVM), kasus seperti ini sering terjadi.
Untuk mengatasi kesalahan ini, HashEx telah menurunkan metode pengujian acak baru. Menggunakan teknologi kecerdasan buatan (AI), perangkat lunak HashEx ini menghasilkan 1.000 hingga 100.000 transaksi acak dengan tren dan parameter berbeda untuk menguji smart contact.
“Dengan transaksi acak, ini terlihat seperti simulasi yang dilakukan peretas ketika mereka menciptakan sesuatu untuk melanggar smart contract,” kata Mishunin.
Walaupun HashEx menjadi salah satu auditor protokol DeFi terkemuka, Mishunin mengakui ada beberapa proyek di bawah audit mereka menjadi korban eksploitasi. Pada tahun 2021, dua insiden kecil terjadi dan salah satunya adalah proyek di jaringan Avalanche. Proyek tersebut memiliki masalah kritis dalam smart contract dan kehilangan sekitar $100.000. Sementara itu, Mishunin menjelaskan bahwa insiden lainnya bukanlah peretasan semata, tetapi karena kontrak tersebut memiliki bug yang mencegah penarikan biaya.