Panduan Audit bagi Pengusaha DeFi: Cara Memilih Penyedia Audit yang Aman dan Membangun "Pandangan Audit" yang Efektif

Dalam industri kripto, audit sangat penting untuk memastikan integritas dan keamanan proyek. Observasi menunjukkan bahwa beberapa proyek terkemuka seperti Lido dan Compound menginvestasikan banyak dalam audit, sering kali mencapai tujuh digit dolar, dan seringkali menyewa beberapa penyedia layanan audit untuk meninjau kode produk yang sama.

Hal ini mencerminkan bahwa proyek-proyek utama DeFi telah mendapatkan imbal hasil yang besar sejak musim panas, dengan cukup dana untuk terus diinvestasikan dalam membangun penghalang kompetisi yang lebih dalam. Di sisi lain, ini juga menunjukkan kepada proyek-proyek lain di industri dan para pengusaha salah satu aspek penting dari audit: pekerjaan audit bukanlah sekadar proses "bayar-sewa-orang-keluar-laporan-promosi", tetapi harus memiliki satu set "pandangan audit" dan metodologi yang lengkap. Pihak proyek perlu mempertimbangkan produk mana yang perlu diaudit, bagaimana memilih penyedia, bagaimana memastikan efektivitas pekerjaan audit, serta bagaimana menyelesaikan pekerjaan audit dengan cara yang paling biaya-efektif dan aman.

Artikel ini akan membahas dari sudut pandang kewirausahaan praktis dan operasi proyek, apa yang seharusnya menjadi "pandangan audit" yang ideal.

Gambaran Umum Penyedia Layanan Keamanan

Dalam 2-3 tahun terakhir, jumlah penyedia audit yang dapat dipilih telah meningkat secara eksponensial, dengan sekitar 15-20 penyedia audit yang umum di pasar. Berdasarkan pengalaman dan komunikasi dengan rekan-rekan, dengan mempertimbangkan reputasi, kemampuan teknis, dan cakupan yang lengkap, beberapa penyedia seperti Peckshield, SlowMist, Trail of bits, dan OpenZeppelin dapat dianggap sebagai jajaran teratas.

Secara keseluruhan, penyedia latar belakang China masih menjadi pilihan utama untuk proyek bahasa Mandarin dalam industri kripto, dengan keunggulan utama dalam komunikasi tanpa perbedaan zona waktu dan kemudahan bahasa, serta harga yang relatif wajar, biasanya berkisar antara 12.000-15.000 dolar AS per orang per minggu, yang akan berfluktuasi mengikuti musim pasar. Sebaliknya, penyedia luar negeri memiliki tingkat pengenalan yang lebih rendah dalam proyek bahasa Mandarin, namun karena faktor-faktor seperti premium merek, sumber daya tim pendiri atau kemampuan teknis, harga biasanya lebih tinggi 1,5-2 kali lipat. Beberapa penyedia luar negeri bahkan dapat memperoleh kontrak besar, misalnya, sebuah platform pernah menyewa OpenZeppelin untuk audit dengan harga lebih dari satu juta dolar AS per kuartal.

Selain penyedia audit tradisional, terdapat juga sejenis penyedia layanan "komunitas topi putih", seperti beberapa platform bug bounty. Model ini adalah bentuk yang matang di bidang keamanan tradisional, yang telah muncul di industri kripto dalam dua tahun terakhir. Pihak proyek memposting modul yang ingin diaudit di platform ( seperti front-end, back-end, kontrak pintar, dll ), mendefinisikan tingkat keparahan bug dan imbalan yang sesuai, untuk menarik "peretas topi putih" melaporkan masalah secara proaktif. Ini dapat menjadi pelengkap yang bermanfaat untuk audit tradisional, tetapi mengharuskan pihak proyek untuk dapat mendefinisikan klasifikasi bug, tingkat, dan cakupan dengan akurat, serta memberikan imbalan yang wajar.

Proses Audit, Metodologi, dan Kontrol Biaya

Untuk pihak proyek, sebelum meminta auditor untuk melakukan pemeriksaan, perlu melakukan persiapan berikut:

1. Pastikan bahwa setidaknya dua putaran pengujian telah dilakukan secara internal, jika memungkinkan, lebih baik melakukan satu putaran pengujian publik komunitas lagi, untuk menghindari paying for obvious issues.

2. Usahakan untuk mengemas kode sesuai dengan tonggak proyek, menyerahkannya sekaligus untuk audit, guna mengontrol biaya.

3. Pastikan penghubung memahami prinsip operasi keseluruhan produk, perkiraan jumlah kode, dan distribusi modul utama, untuk menghindari komunikasi kebutuhan yang tidak jelas pada tahap pengaturan awal.

4. Bandingkan jadwal dari berbagai penyedia, pertimbangkan untuk mengunci jadwal berbayar pada titik produk yang penting.

Meskipun ada banyak penyedia di pasar, namun perbedaan jadwal di antara mereka sangat besar. Disarankan untuk mengajukan permintaan evaluasi kepada setidaknya 3 auditor untuk kode yang sama, guna mendapatkan jadwal, penawaran, dan evaluasi beban kerja. Untuk titik produk yang penting, disarankan untuk membayar di muka 30%-50% dari biaya untuk mengunci jadwal, menghindari dampak pada kemajuan. Umumnya, penyedia berbahasa Mandarin menyarankan untuk memesan 2-4 minggu sebelumnya, sementara penyedia luar negeri setidaknya 1 bulan sebelumnya.

Setelah menentukan jadwal dan penawaran, kode proyek diserahkan kepada auditor untuk mulai ditinjau. Selama proses tersebut, auditor yang bertanggung jawab akan berdiskusi dengan pihak proyek mengenai pertanyaan-pertanyaan. Kontak proyek bertanggung jawab untuk menjaga komunikasi yang baik dengan auditor dan memastikan:

1. Progres audit dilakukan tepat waktu.
2. Laporan audit versi awal direview silang oleh setidaknya dua teknisi dari tim proyek, kemudian dikonfirmasi dengan auditor apakah akan menjadi versi final.
3. Membangun saluran obrolan kelompok antara personel kunci proyek, personel produk, dan auditor yang sebenarnya melakukan tinjauan kode.
4. Memperhatikan laporan kejadian keamanan yang diterbitkan oleh auditor lain, secara proaktif berkomunikasi dengan auditor mengenai masalah terkait yang mungkin ada.

Pihak proyek perlu memiliki posisi yang jelas, mempertahankan kontrol secara moderat

Perusahaan audit terutama fokus pada kualitas kode, logika, dan keamanan, jarang melibatkan hubungan antara kode dan bisnis. Terkadang penyesuaian logika kode atau keamanan dapat mempengaruhi logika bisnis.

Misalnya, untuk peningkatan izin kontrak, penyesuaian tarif, penerbitan token tambahan, dan modul kunci lainnya, dari sudut pandang pengembangan awal bisnis, sebenarnya diperlukan anggota inti proyek untuk dapat mengontrol secara independen, agar dapat melakukan penyesuaian tepat waktu saat terjadi perubahan pasar atau insiden keamanan mendadak, bukan semata-mata mengejar kontrol tanda tangan ganda, yang dapat mempengaruhi kemampuan proyek untuk beradaptasi dalam saat krisis.

Mempertahankan "backdoor" atau "superuser privilege" secara wajar tidak hanya berkaitan dengan proyek itu sendiri, tetapi juga dapat memengaruhi kelangsungan seluruh industri. Bayangkan, jika beberapa bursa tidak mengambil langkah darurat, beberapa stablecoin tidak menghentikan penebusan, beberapa blockchain publik tidak melakukan "pemeliharaan jaringan", kondisi industri mungkin akan sangat berbeda.

Komunikasi dan berbagi yang berkelanjutan mendorong keamanan jangka panjang

Layanan auditor dapat menemukan masalah, tetapi tidak dapat menjamin keamanan 100%, insiden keamanan dapat terjadi kapan saja. Di satu sisi, pihak proyek perlu secara proaktif berkomunikasi dengan perusahaan audit untuk mendiskusikan bagaimana menangani ( yang mungkin termasuk kompensasi, audit ulang gratis, pengembalian dana, dan solusi lainnya ). Di sisi lain, setiap penemuan dan perbaikan celah keamanan berhubungan dengan kemajuan seluruh industri. Tanpa melibatkan kepentingan bisnis yang krusial, semua pihak proyek didorong untuk bersama-sama dengan perusahaan audit melakukan tinjauan terbuka terhadap masalah serupa, ini membantu industri berbagi standar keamanan yang lebih tinggi, dan dalam jangka panjang juga dapat mengurangi biaya audit untuk setiap proyek.

Tim pengambil keputusan proyek harus memiliki pola pikir hacker dan menghargai kekuatan komunitas

Audit adalah perang dana yang berkepanjangan, merupakan penghalang penting dalam kompetisi proyek. Di satu sisi, harus terus menginvestasikan dana di antara setiap tonggak produk, menyewa auditor eksternal yang terkenal dan dapat diandalkan untuk menutupi kemungkinan kerentanan keamanan. Di sisi lain, juga harus menghargai kekuatan komunitas, mendorong komunitas hacker etis untuk berpartisipasi dalam pembangunan keamanan proyek.

Penulis pernah mengundang seorang anggota komunitas white hat dengan imbalan sekitar 30 ribu dolar, yang berhasil membantu memperbaiki dan memperbaiki sebuah kontrak yang mengelola dana senilai jutaan dolar.

Selain itu, berusaha untuk menggunakan kembali kontrak yang sudah matang, daripada mencari cara baru, juga merupakan metode yang efektif untuk mengurangi biaya dan meningkatkan efisiensi.

Kata Penutup

Ambang batas untuk memulai usaha di industri kripto telah meningkat secara signifikan, pendanaan jutaan dolar tidak jarang di pasar saat ini. Dari diskusi sebelumnya, dapat dilihat bahwa untuk benar-benar mendukung satu set aplikasi terdesentralisasi yang dapat diandalkan, aman, dan stabil sangatlah sulit, bahkan aplikasi teratas di industri pun tidak dapat menjamin keamanan mutlak.

Oleh karena itu, dari sudut pandang pengendalian biaya, setiap proyek startup harus sedapat mungkin mengintegrasikan fasilitas yang sudah ada dan matang ketika memilih kontrak dan model, untuk menghindari menciptakan kembali roda. Terdapat berbagai infrastruktur yang sudah matang dan dapat digunakan untuk proyek baru dalam kategori seperti bursa terdesentralisasi yang umum, platform pinjaman, agregator hasil, staking likuid, dan re-staking, bahkan perdagangan derivatif, aset sintetis, dan lainnya. Ini tidak hanya dapat mengurangi biaya keamanan proyek, tetapi juga secara efektif meningkatkan keamanan proyek itu sendiri, dan memastikan keamanan sistem berevolusi seiring dengan peningkatan objek yang digunakan kembali.

Dari perspektif keseluruhan industri, mencapai keamanan menyeluruh memerlukan upaya dan kontribusi bersama dari semua peserta pasar.

Untuk auditor: 1) harus mewaspadai kemungkinan niat buruk dari pihak proyek, seperti menggunakan versi kode yang berbeda dari yang sebenarnya diluncurkan untuk audit. Disarankan untuk memverifikasi kembali versi kode yang sebenarnya setelah proyek resmi diluncurkan. 2) dapat mempertimbangkan untuk mengeksplorasi model yang menggabungkan asuransi, menyediakan mekanisme kompensasi untuk pelanggan yang membeli layanan besar, dan melindungi hak-hak pihak proyek. 3) secara lebih luas mengumumkan kasus audit dan pengalaman debug. Industri audit mirip dengan industri medis, kemajuan keseluruhan tergantung pada investasi penelitian dan pengembangan teknologi jangka panjang, dan juga sangat bergantung pada akumulasi kasus. Dari sudut pandang ini, "audit gaya PR" yang sering dijadikan bahan lelucon oleh pengguna juga merupakan salah satu pendorong kemajuan industri, setidaknya dapat membuat lebih banyak kasus audit dibagikan di industri.

Bagi pengguna: 1) harus mengambil langkah pemisahan dompet panas dan dingin, menggunakan alamat dompet khusus untuk berbagai aplikasi terdesentralisasi, secara berkala membersihkan otorisasi yang tidak dikenal, dan tidak melakukan transaksi dengan token airdrop yang tidak jelas, serta langkah-langkah keamanan lainnya. Pengguna dengan kekayaan tinggi, 2) harus membiasakan diri untuk secara rutin memeriksa laporan kejadian keamanan yang dirilis oleh berbagai auditor, serta tetap waspada terhadap risiko keamanan umum.