Copet Kripto

IVOOX.id - Beberapa hari belakangan ini dunia kripto atau lengkapnya cryptocurrency di Indonesia heboh karena adanya berita peretasan situs dan server Indodax yang merupakan pemain besar kripto di Indonesia.

Terdeteksi transaksi anomali dalam jumlah nominal yang sangat besar. Sebagian pengamat keamanan siber memprakirakan nilai transaksi ilegal yang terjadi mencapai sekitar 300 milyar. Meskipun demikian Oscar Darmawan, CEO Indodax, meminta para nasabah dan mitra Indodax tetap tenang, karena Indodax mengklaim memiliki aset kripto senilai 11,5 triliun rupiah. Dengan kata lain, kebocoran senilai 300 miliar itu hanyalah sekitar 3% dari aset mereka.

Terlepas dari itu semua tentu banyak di antara kita yang bertanya, bagaimana sebenarnya sistem kurensi kripto itu bekerja? Siapa yang mengatur, mengawasi, dan bertanggung jawab jika ada kejadian seperti yang di atas? Di Indonesia ada lembaga supervisi bisnis kripto yang merupakan bagian dari divisi keuangan digital OJK. Juga ada Bappepti yang berwenang untuk memberikan persetujuan kepada bursa untuk memperdagangkan aset kripto, dimana bursa kripto resmi di Indonesia adalah lembaga yang bernama CFX.

Tak dapat dipungkiri bahwa cryptocurrency memang telah menjadi fenomena global dalam sektor keuangan dan teknologi, dengan potensi besar untuk merevolusi sistem keuangan tradisional.

Namun, di balik pertumbuhan dan popularitas ini, terdapat berbagai tantangan keamanan yang signifikan. Pagi ini kita akan coba menganalisis faktor keamanan cryptocurrency secara mendalam, didasarkan pada kajian teori, studi kasus, dan referensi relevan dari berbagai penelitian akademis serta laporan industri.

Blockchain, teknologi dasar di balik sebagian besar cryptocurrency, merupakan sebuah buku keuangan besar (ledger) digital terdesentralisasi. Blockchain menggunakan mekanisme konsensus seperti Proof of Work (PoW) atau Proof of Stake (PoS) untuk memastikan integritas data yang tercatat.

Secara teori, blockchain dianggap aman karena sifatnya terdesentralisasi. Tidak ada satu entitas yang memiliki kontrol penuh atas jaringan. Semua transaksi tercatat di ledger yang dapat diakses oleh siapa saja, hingga menjamin proses transparansi.

BC juga bersifat immutabilitas, atau data yang telah diverifikasi dan dicatat di blockchain tidak dapat diubah.

Meskipun demikian, ada beberapa kelemahan pada desain dan penerapan BC di sistem kurensi kripto, terutama dalam mekanisme konsensus yang digunakan. Misal, dalam sistem PoW, serangan 51% attack dapat terjadi jika lebih dari setengah dari kekuatan komputasi jaringan dikuasai oleh satu entitas.

Sistem keamanan cryptocurrency sebagian besar bergantung pada kriptografi asimetris dan fungsi hash. Kriptografi asimetris melibatkan penggunaan kunci publik dan kunci pribadi. Sementara kunci publik digunakan untuk mengenkripsi data, kunci pribadi digunakan untuk mendekripsi data. Kelemahan keamanan sering kali terjadi ketika pengguna gagal melindungi kunci pribadi mereka dengan baik.

Fungsi hash kriptografis seperti SHA-256 (yang digunakan dalam Bitcoin), dirancang untuk mengubah input data menjadi keluaran tetap yang unik. Fungsi hash ini sangat penting untuk menjaga integritas blok dalam blockchain, namun serangan seperti collision attack (dua input berbeda menghasilkan hash yang sama) dapat menjadi risiko jika hash yang digunakan memiliki kelemahan.

Cryptocurrency modern, seperti Ethereum, mendukung eksekusi smart contracts. Ini merupakan program yang berjalan otomatis di atas blockchain dan memiliki fungsi sendiri. Meskipun menjanjikan banyak efisiensi, smart contract rentan terhadap berbagai jenis serangan, termasuk reentrancy attack seperti yang terjadi pada kasus peretasan DAO (Decentralized Autonomous Organization) pada tahun 2016. Dalam hal ini, kelemahan dalam kode kontrak pintar dieksploitasi, yang menyebabkan kerugian besar.

Selain risiko bawaan dalam teknologi cryptocurrency, pengguna juga menghadapi ancaman dari serangan eksternal atau yang lebih kita kenal sebagai serangan siber seperti phishing, malware, keylogger, dan exchange hacks. Serangan terhadap platform exchange telah menyebabkan kerugian miliaran dolar dalam beberapa kasus kejahatan siber terhadap kurensi kripto.

Sebagai contoh, peretasan terhadap Mt. Gox pada 2014 mengakibatkan hilangnya sekitar 850.000 bitcoin, yang pada saat itu bernilai lebih dari 450 juta dolar AS.

Meskipun BC/blockchain pada dasarnya aman karena desentralisasi dan penggunaan algoritma kriptografi, risiko tetap ada. Beberapa faktor keamanan yang harus diperhatikan antara lain:

Jika satu entitas atau kelompok entitas/komunitas (penambang misalnya) mengendalikan mayoritas kekuatan hashing di jaringan PoW, mereka bisa secara efektif memanipulasi blockchain.

Proses update atau pembaruan protokol dan munculnya hard forks dapat menciptakan celah dalam sistem keamanan yang dapat dieksploitasi oleh peretas.

Pengguna cryptocurrency biasanya menggunakan dompet/wallet digital untuk menyimpan kunci pribadi mereka. Keamanan wallet bergantung pada metode enkripsi dan proteksi yang digunakan, tetapi jika pengguna tidak mengamankan perangkat mereka, kunci pribadi dapat dicuri.

Sebenarnya ada cold storage (wallet yang tidak terhubung ke internet) yang dianggap lebih aman dibanding hot wallet (wallet yang terhubung ke internet).

Cryptocurrency exchange adalah target utama bagi peretas karena jumlah aset yang besar disimpan dalam server mereka. Platform exchange harus memiliki sistem keamanan berlapis seperti Multi-Factor Authentication (MFA), firewall, dan enkripsi yang kuat untuk melindungi aset pengguna.

Smart contract, jika tidak ditulis dan diverifikasi dengan benar, dapat dieksploitasi. Audit kontrak dan formal verification adalah metode yang sering digunakan untuk memastikan tidak ada celah dalam kode yang bisa dieksploitasi.

Regulasi pemerintah, dalam hal ini OJK (otoritas jasa keuangan), Bank Indonesia, dan Bappepti terhadap pelaku usaha cryptocurrency juga mempengaruhi faktor keamanan. Beberapa negara telah memperkenalkan regulasi untuk memastikan bahwa platform exchange dan penyedia wallet mengikuti standar keamanan tertentu. Namun, regulasi ini bisa menjadi tantangan di lingkungan desentralisasi yang tidak memiliki pengawasan terpusat.

Di usianya yang tergolong baru seumur jagung, sudah ada beberapa kasus fenomenal berupa serangan dan pelanggaran keamanan pada sistem kurensi kripto. Beberapa kasus yang menonjol sebelum kasus Indodax meledak, antara lain adalah, kasus Mt. Gox (2014) yang merupakan salah satu exchange terbesar di dunia pada saat itu. Peretasan sisten keamanan Mt Gox telah menyebabkan hilangnya lebih dari 450 juta dolar AS dalam bitcoin. Penyebabnya diduga karena kurangnya mekanisme keamanan yang memadai di sistem exchange Mt Gox.

Lalu pada tahun 2016 ada kasus DAO Hack. Serangan pada DAO yang menunjukkan bahwa smart contract ternyata dapat dieksploitasi jika ada celah dalam kode pemrogramannya. Akibatnya, ethereum melakukan hard fork untuk memulihkan dana yang hilang, meskipun hal itu menciptakan kontroversi di komunitas kripto dunia.

Pada tahun 2019 ada kasus Binance Hack, dimana Binance, sebagai salah satu exchange terbesar di dunia telah kehilangan lebih dari 40 juta dolar AS dalam bitcoin saat mengalami serangan pada sistemnya. Meski platform binance memiliki cadangan dana untuk mengganti kerugian pengguna, peristiwa ini menyoroti pentingnya keamanan exchange.

Lalu bagaimana agar kasus-kasus seperti Indodax DAO, Binance, dan juga Mt Gox ini tidak terjadi lagi di kemudian hari? Tentu diperlukan strategi untuk meningkatkan keamanan sistem cryptocurrency bukan?

Upaya peningkatan kapasitas keamanan itu dapat dilakuan antara lain dengan melakukan peningkatan proses enkripsi dan penggunaan/penerapan protokol yang lebih kuat.

Penggunaan algoritma enkripsi yang lebih canggih dapat meningkatkan keamanan. Selain itu, pengembangan mekanisme konsensus baru, seperti Proof of Authority (PoA) atau Delegated Proof of Stake (DPoS), dapat menjadi alternatif yang lebih aman dibandingkan PoW atau PoS.

Dapat dilakukan pula proses audit Smart Contract dan Formal Verification secara berkesinambungan untuk mengurangi resiko dalam proses eksekusi smart contract. Audit menyeluruh dan penggunaan teknik verifikasi formal harus diimplementasikan sebelum kontrak tersebut digunakan secara luas.

Pengguna dan pengembang harus diedukasi dan mengedukasi tentang cara melindungi wallet mereka, mengenali serangan phishing, dan menerapkan praktik keamanan terbaik saat menggunakan atau mengembangkan cryptocurrency, termasuk peningkatan secara berkala prosedur dan metoda pengamanan siber yang rentan dan amat rawan terhadap serangan yang kini pola dan mekanismenya semakin kompleks dan beragam.

Sudah mulai perlu juga dielaborasi proses inisiasi kolaborasi antar negara dalam konteks bilateral, terkait pembuatan dan penetapan regulasi global yang perlu diratifikasi bersama. Regulasi yang lebih baik dengan kesepakatan dan konsensus internasional dapat membantu mengurangi kejahatan terkait cryptocurrency, termasuk penyalahgunaan di ranah terkait seperti pencucian uang dan pendanaan terorisme yang bisa jadi amat berbahaya jika tidak terdeteksi oleh otoritas keamanan negara yang menjadi sasaran kejahatan.

Dapat disimpulkan bahwa keamanan sistem cryptocurrency adalah masalah yang sangat kompleks dan melibatkan banyak faktor teknis, ekonomi, dan hukum. Meskipun demikian teknologi blockchain sebenarnya dapat potensial untuk memberikan jaminan keamanan melalui mekanisme desentralisasi dan kriptografi, tetapi tentu saja dinaika ancaman akan selalu ada dan masjid dalam berbagai bentuk serangan eksternal dan kelemahan internal seperti kerentanan smart contract, dll.

Upaya terus-menerus dalam pengembangan teknologi, regulasi yang lebih baik, dan kesadaran pengguna adalah kunci untuk mengatasi tantangan keamanan dalam ruang cryptocurrency di masa depan.

Penulis: Tauhid Nur Azhar

Ahli neurosains dan aplikasi teknologi kecerdasan artifisial, SCCIC ITB/TFRIC-19