Kecerdasan Buatan dan Ancaman di Dunia Crypto
Kecerdasan buatan (AI) telah memberikan alat yang sama kepada penyerang crypto yang sebelumnya hanya digunakan oleh pembela, dan hasilnya mengakibatkan kerugian miliaran dolar bagi industri, menurut para ahli. Mitchell Amador, CEO Immunefi, menyatakan kepada Decrypt pada awal minggu Token2049 di Singapura bahwa AI telah mengubah penemuan kerentanan menjadi eksploitasi yang hampir instan.
“Jika kita memiliki alat ini, apakah kelompok Lazarus dari Korea Utara dapat membangun alat serupa? Apakah kelompok peretas Rusia-Ukraina dapat melakukan hal yang sama?” tanya Amador. “Jawabannya adalah mereka bisa.”
Agen audit AI Immunefi telah mengungguli sebagian besar perusahaan audit tradisional, tetapi kemampuan yang sama juga dapat diakses oleh operasi peretasan yang didanai dengan baik. “Audit sangat baik, tetapi itu tidak cukup untuk mengikuti laju inovasi dan peningkatan yang berlipat ganda dari para penyerang,” ungkapnya. Dengan lebih dari 3% dari total nilai yang terkunci dicuri di seluruh ekosistem pada tahun 2024, Amador menekankan bahwa meskipun keamanan kini menjadi perhatian utama, proyek-proyek “berjuang untuk mengetahui bagaimana cara berinvestasi dan mengalokasikan sumber daya secara efektif di bidang tersebut.”
Perubahan dalam Serangan dan Keamanan
Industri telah beralih dari “masalah prioritas, yang merupakan hal yang luar biasa, menjadi masalah pengetahuan dan pendidikan,” tambahnya. AI juga telah membuat serangan rekayasa sosial yang canggih menjadi sangat murah. “Berapa banyak yang Anda pikir panggilan telepon itu biayanya?” tanyanya, merujuk pada panggilan phishing yang dihasilkan oleh AI yang dapat menyamar sebagai rekan kerja dengan akurasi yang mengganggu. “Anda dapat melakukannya dengan biaya yang sangat rendah menggunakan sistem prompt yang dirancang dengan baik, dan Anda dapat melakukannya secara massal. Itu adalah bagian menakutkan dari AI.”
CEO Immunefi itu menyatakan bahwa kelompok seperti Lazarus kemungkinan mempekerjakan “setidaknya beberapa ratus orang, jika tidak ribuan, yang bekerja siang dan malam” pada eksploitasi crypto sebagai sumber pendapatan utama bagi ekonomi Korea Utara. “Tekanan kompetitif yang berasal dari kuota pendapatan tahunan Korea Utara mendorong para operatif untuk melindungi aset individu dan ‘mengungguli rekan-rekan’ daripada mengoordinasikan perbaikan keamanan,” menurut laporan intelijen SentinelLABS baru-baru ini.
“Permainan dengan serangan yang didorong oleh AI adalah bahwa itu mempercepat laju di mana sesuatu dapat beralih dari penemuan ke eksploitasi,” kata Amador kepada Decrypt.
Untuk mempertahankan diri dari itu, satu-satunya solusi adalah tindakan balasan yang bahkan lebih cepat. Tanggapan Immunefi adalah menyematkan AI langsung ke dalam repositori GitHub pengembang dan jalur CI/CD, menangkap kerentanan sebelum kode mencapai produksi. Amador memprediksi pendekatan ini akan memicu “penurunan tajam” dalam peretasan DeFi dalam satu hingga dua tahun, yang berpotensi mengurangi insiden dengan urutan besaran lainnya.
Peran Audit dan Bug Bounty
Dmytro Matviiv, CEO platform bug bounty Web3 HackenProof, menambahkan bahwa “audit manual akan selalu memiliki tempat, tetapi perannya akan bergeser.” “Alat AI semakin efektif dalam menangkap kerentanan ‘yang mudah dijangkau’, yang mengurangi kebutuhan untuk tinjauan manual berskala besar terhadap kesalahan umum,” katanya. “Apa yang tersisa adalah masalah halus yang bergantung pada konteks yang memerlukan keahlian manusia yang mendalam.”
Untuk melindungi diri dari serangan yang didorong oleh AI, Immunefi telah menerapkan kebijakan whitelist-only untuk semua sumber daya dan infrastruktur perusahaan, yang menurut Amador telah “menangkap ribuan teknik spear phishing yang dicoba dengan sangat efektif.” Namun, tingkat kewaspadaan ini tidak praktis untuk sebagian besar organisasi, katanya, mencatat bahwa “kami dapat melakukan itu di Immuneify karena kami adalah perusahaan yang hidup dan bernapas keamanan dan kewaspadaan. Orang biasa tidak bisa melakukan itu. Mereka memiliki kehidupan untuk dijalani.”
Masalah dalam Industri dan Solusi yang Diterapkan
Immunefi telah memfasilitasi lebih dari $100 juta dalam pembayaran kepada peretas white-hat, dengan distribusi bulanan yang stabil berkisar antara $1 juta hingga $5 juta. Namun, Amador mengungkapkan bahwa platform telah “mencapai batas” karena tidak ada “cukup banyak mata” untuk memberikan cakupan yang diperlukan di seluruh industri. Kendala ini bukan hanya tentang ketersediaan peneliti, karena bug bounty menghadapi masalah permainan zero-sum intrinsik yang menciptakan insentif yang menyimpang bagi kedua belah pihak.
“Tantangannya adalah membuat ruang ini cukup menarik dalam hal insentif dan komunitas agar wajah-wajah baru itu tetap bertahan,” kata Matviiv.
Bug bounty kemungkinan telah mencapai “puncaknya dalam efisiensi” di luar inovasi baru yang bahkan tidak ada dalam program bug bounty tradisional, tambah Amador. Perusahaan sedang menjajaki solusi AI hibrida untuk memberikan peneliti individu lebih banyak daya tawar untuk mengaudit lebih banyak protokol secara skala, tetapi ini masih dalam tahap R&D.
Kesimpulan dan Harapan untuk Masa Depan
Meskipun tingkat keparahan peretasan tetap tinggi, Amador menyatakan bahwa “tingkat insiden menurun, dan tingkat keparahan sebagian besar bug menurun, dan kami menangkap semakin banyak hal ini di tahap awal siklus.” Ketika ditanya tentang langkah keamanan tunggal yang harus diadopsi setiap proyek di Token2049, Amador menyerukan “Platform Keamanan Terpadu,” yang menangani beberapa vektor serangan. Ini penting, karena keamanan yang terfragmentasi pada dasarnya memaksa proyek untuk “melakukan penelitian sendiri” tentang produk, batasan, dan alur kerja, katanya.
