Jika Anda telah berada di web3 selama lebih dari lima menit, Anda telah ditipu, hampir ditipu, atau hanya satu klik buruk dari bergabung dengan klub. Jangan khawatir tentang penarikan rug besar yang membuat berita. Pertimbangkan hal-hal biasa seperti pop-up MetaMask palsu, tautan swap pertukaran terdesentralisasi yang terlihat sah tetapi sebenarnya tidak, atau halaman bridge acak yang dengan senang hati ditampilkan Google di atas pencarian Anda.

Ringkasan

• Penipuan semakin merajalela — penipuan kripto mencapai setidaknya $9,9B pada tahun 2024, dengan phishing yang semakin canggih dan situs DeFi palsu mengikis kepercayaan bahkan pengguna ahli.
• Keamanan dianggap sebagai opsional — meskipun ada alat yang tersedia, perlindungan phishing tidak dibangun ke dalam infrastruktur inti, meninggalkan adopsi terhambat oleh kekhawatiran keamanan.
• Risiko kuantum mengintai — pada tahun 2030, sistem harus mengadopsi kriptografi pasca-kuantum; tanpa itu, ditambah dengan phishing, web3 menghadapi krisis kredibilitas.
• Urgensi untuk tindakan industri — keamanan harus diprioritaskan seperti skala atau hasil DeFi, jika tidak, peretasan bernilai miliaran dolar di masa depan akan memaksa perbaikan terlalu terlambat.

Pada tahun 2024, penipuan kripto menghasilkan setidaknya $9,9 miliar dalam pendapatan ilegal, dengan Chainalysis memperingatkan bahwa totalnya bisa mencapai rekor $12,4 miliar seiring dengan semakin banyaknya data yang masuk. Penipuan di sektor ini semakin tajam, dengan para penipu menggunakan situs phishing yang lebih meyakinkan, platform keuangan terdesentralisasi palsu, dan taktik rekayasa sosial. Sophistifikasi ini membuat deteksi lebih sulit dan kerugian lebih besar, mengikis kepercayaan pengguna. Bahkan trader berpengalaman pun terjebak.

Namun, komunitas crypto yang lebih luas sering menganggap ini sebagai biaya untuk menjalankan bisnis, yang tidak masuk akal. Bayangkan jika setiap kali Anda masuk ke perbankan online, ada satu dari sepuluh kemungkinan itu adalah situs palsu. Orang-orang akan melakukan kerusuhan. Di web3, bagaimanapun, ada sikap acuh; orang-orang tweet “stay safe, anon” dan berharap untuk yang terbaik.

Ini adalah masalah yang dapat diperbaiki

Teknologi sudah ada untuk mendeteksi situs phishing, kontrak pintar palsu, dan bridge jahat sebelum Anda berinteraksi dengan mereka. Masalahnya adalah bahwa ini telah diperlakukan sebagai tambahan opsional alih-alih bagian inti dari tumpukan. Orang-orang kehilangan ribuan dolar setiap minggu saat menukar token di apa yang terlihat seperti antarmuka pertukaran yang sah. Satu-satunya hal yang menyelamatkan mereka seringkali adalah alat keamanan berbasis browser yang menandai halaman beberapa detik sebelum mereka menekan “Konfirmasi.”

Menganggap phishing sebagai masalah keamanan pribadi sangat meremehkan pengaruhnya di pasar yang lebih luas. Adopsi ritel tidak terhambat karena teknologinya tidak cukup skala. Itu terhambat karena orang tidak percaya bahwa uang mereka aman. Sementara beberapa akan berargumen bahwa lapisan keamanan hanyalah titik kegagalan sentral, sudah ada ketergantungan yang signifikan pada penyedia infrastruktur, pengindeks, node panggilan prosedur jarak jauh, dompet, dan puluhan titik penyumbatan lainnya. Berpura-pura bahwa menambahkan perlindungan phishing yang kuat entah bagaimana mengkompromikan etos adalah alasan yang lemah, mengingat taruhannya yang tinggi.

Bom waktu komputasi kuantum

Ada masalah lain yang tidak cukup dipikirkan oleh kebanyakan orang: keamanan pasca-kuantum. Pemerintah AS telah menetapkan tenggat waktu, di mana semua sistem harus beralih ke kriptografi pasca-kuantum pada tahun 2030, dengan algoritma lama sepenuhnya dihapus pada tahun 2035, yang berarti banyak infrastruktur blockchain di luar sana hidup dalam waktu yang dipinjam. Gabungkan itu dengan serangan phishing yang tidak terkontrol, dan Anda memiliki badai sempurna untuk keruntuhan kepercayaan. Web3 tidak akan dianggap serius di dunia pasca-kuantum jika masih kehilangan miliaran karena tautan palsu.

Penghindaran terbesar adalah bahwa pengguna harus lebih berhati-hati. Pejalan kaki harus melihat ke dua arah sebelum menyeberang jalan, tetapi kita tetap memiliki lampu lalu lintas untuk suatu alasan. Mengharapkan setiap pemegang dompet baru untuk mengenali tautan phishing secara instan adalah tidak realistis, terutama ketika penipu semakin mahir dalam menyamar sebagai platform yang sah. Kita telah menghabiskan bertahun-tahun terobsesi dengan skala, komposabilitas, dan likuiditas lintas rantai. Sementara itu, keluhan pengguna No. 1 tetap: “Saya kehilangan koin saya.”

Taruhannya lebih tinggi dari yang dipikirkan orang

Penipuan yang berasal dari kripto semakin meluas jauh melampaui batasan aslinya. Mereka tidak lagi terbatas pada pertukaran atau protokol DeFi yang mencolok; mereka secara perlahan menyusup ke industri terkait dan mengikis kepercayaan di seluruh ekosistem. Jembatan dan validator tetap menjadi target yang jelas, tetapi mereka jauh dari satu-satunya. Penyedia telekomunikasi, operator energi, produsen Internet of Things, rantai pasokan, dan bahkan sistem pertahanan yang berinteraksi dengan komponen berbasis blockchain sekarang menjadi titik masuk yang berpotensi. Setiap integrasi baru menciptakan permukaan lain untuk kompromi, celah lain untuk dieksploitasi oleh penyerang, dan pengganda risiko lain yang merusak kepercayaan publik.

Jika Anda seorang pemimpin proyek, Anda sedang menghadapi dua kenyataan yang tidak nyaman. Pertama, keamanan yang tahan kuantum bukanlah tonggak akademis yang jauh; ia sedang menuju menjadi persyaratan regulasi yang ketat dalam waktu kurang dari satu dekade. Kedua, setiap serangan phishing yang terkenal atau kampanye pengumpulan kredensial antara sekarang dan tenggat waktu itu menggerogoti basis pengguna Anda, kredibilitas Anda, dan total nilai yang terkunci, kerusakan yang secara diam-diam bertambah seiring waktu dan jauh lebih sulit untuk dibangun kembali daripada untuk dicegah.

Sekarang adalah waktu untuk mengarahkan jumlah inovasi, pendanaan, dan iterasi tanpa henti yang sama ke dalam arsitektur keamanan seperti yang telah dilakukan pada pertanian hasil, pencetakan token non-fungibel, dan likuiditas lintas rantai. Web3 tidak dapat secara kredibel menyebut dirinya sebagai masa depan keuangan dan infrastruktur data sambil terus memperlakukan phishing hanya sebagai masalah "kesalahan pengguna". Pada suatu titik, ekosistem harus mengambil tanggung jawab.

Melihat ke belakang, kita hampir pasti akan bertanya pada diri sendiri mengapa industri mentolerir kerentanan yang begitu jelas begitu lama dan mengapa tidak menangani phishing secara skala lebih cepat. Bagian yang menggembirakan adalah bahwa masalah ini dapat diatasi dengan prioritas dan pilihan desain yang tepat. Satu-satunya pertanyaan yang tersisa adalah apakah industri akan mengambil inisiatif sekarang atau menunggu hingga peretasan miliaran dolar berikutnya memaksa tangannya.

David Carvalho

David Carvalho adalah pendiri, CEO, dan Kepala Ilmuwan Naoris Protocol, solusi keamanan terdesentralisasi pertama di dunia yang didukung oleh blockchain pasca-kuantum dan AI terdistribusi, didukung oleh Tim Draper dan Mantan Kepala Intelijen NATO. Dengan pengalaman lebih dari 20 tahun sebagai Chief Information Security Officer Global dan hacker etis, David telah bekerja di tingkat teknis dan C-suite di organisasi bernilai miliaran dolar di seluruh Eropa dan Inggris. Dia adalah penasihat tepercaya untuk negara-negara dan infrastruktur kritis di bawah NATO, yang fokus pada perang siber, terorisme siber, dan spionase siber. Sebagai pelopor blockchain sejak 2013, David telah berkontribusi pada inovasi dalam penambangan PoS/PoW dan keamanan siber generasi berikutnya. Karyanya menekankan mitigasi risiko, penciptaan kekayaan etis, dan kemajuan yang didorong oleh nilai dalam crypto, otomatisasi, dan AI Terdistribusi.