CEO HackenProof Menyelami Web3 Tren Keamanan, Efektivitas Bug Bounty, dan Meningkatnya Peran AI dalam Keamanan Siber di Hack Seasons Cannes

CEO Bukti Hacken , Dmytro Matviiv berbicara di Konferensi Musim Hack di Cannes pada tanggal 3 Juli tentang tren di Web3 keamanan, lanskap ancaman yang berkembang, dan peran AI dalam keamanan siber.

HackenProof secara aktif berkolaborasi dengan berbagai protokol Layer 1 dan Layer 2 seperti Ethereum Foundation, Sui, Aptos, Near, dan bursa mata uang kripto, termasuk Bybit dan Gate, di antara yang lainnya. Mereka melibatkan komunitas keamanan untuk mengidentifikasi kerentanan, dan setelah memvalidasi laporan yang diserahkan, memberikan kompensasi yang sesuai kepada peneliti keamanan. Proses ini beroperasi dalam model keamanan bug bounty dan crowdsourced.

Lanskap Keamanan Siber yang Berkembang: Meningkatnya Kompleksitas Serangan, Efektivitas Bug Bounty, dan Tantangan Keamanan dalam Ekosistem yang Berkembang

Menurut Dmytro Matviiv, riset internal HackenProof dilakukan secara berkelanjutan, dengan laporan triwulanan yang dirilis untuk melacak tren lanskap keamanan siber. Selama dua tahun terakhir, jumlah peretasan yang dilaporkan telah menurun, tetapi kompleksitas insiden ini justru meningkat. Pada triwulan ini saja, lebih dari $2 miliar telah dicuri melalui berbagai serangan. Banyak dari insiden ini tampaknya direncanakan, dengan beberapa individu berpotensi bekerja di dalam organisasi untuk waktu yang lama sebelum meninggalkan pintu belakang dan kemudian melakukan serangan terkoordinasi. Tren penting yang diamati adalah keterlibatan aktor yang disponsori negara, terutama dari Korea Utara, yang menghadirkan tantangan bagi penegakan hukum dan ekstradisi, bahkan ketika identitas pelakunya diketahui.

Namun, banyak perusahaan menawarkan program bug bounty yang kompetitif. Bagi pelaku kejahatan, melaporkan kerentanan melalui jalur resmi dan menerima kompensasi hukum—terkadang mencapai ratusan ribu atau bahkan jutaan dolar—bisa lebih menguntungkan daripada mengeksploitasi kerentanan tersebut, menurut Dmytro Matviiv. Sebaliknya, struktur bug bounty yang tidak memadai dapat menghambat pengungkapan yang bertanggung jawab. Misalnya, dalam kasus yang melibatkan Bybit, pembayaran maksimum untuk kerentanan kritis di situs web perusahaan ditetapkan sebesar $4,000. Seorang peneliti mengeksploitasi kerentanan tersebut dan menyebabkan kerugian sebesar $1.3 miliar. Hal ini memunculkan argumen bahwa menawarkan bug bounty yang setara dengan 10% dari potensi kerusakan dapat menjadi tindakan pencegahan yang lebih efektif.

“Jadi, jika sebuah perusahaan memutuskan untuk melegalkan proses bug bounty, perusahaan dan peneliti pasti akan mengirimkan laporan untuk membantu menemukan kerentanan ini,” tegas Dmytro Matviiv. 

Baru-baru ini, insiden keamanan lain terjadi yang melibatkan protokol Cetus, yang beroperasi di dalam ekosistem Sui. Observasi menunjukkan bahwa ekosistem Sui terus mengalami berbagai tantangan keamanan, sebagian karena perkembangan dan aktivitasnya yang pesat. Ekosistem ini memiliki tim yang besar dan terlibat aktif, serta telah menunjukkan komitmen yang kuat terhadap keamanan melalui program bug bounty, kontes, dan audit yang rutin. Meskipun terjadi pelanggaran baru-baru ini, Cetus tetap melanjutkan inisiatif bug bounty baru yang bekerja sama dengan HackenProof, yang dijadwalkan minggu depan. Secara keseluruhan, ekosistem Sui tetap aktif dan responsif dalam mengatasi kerentanan.

Saya yakin Sui adalah salah satu ekosistem yang masih cukup muda. Mereka memiliki bahasa pemrograman baru, yang menggabungkan Move dan Rust, dan terdapat banyak kode yang berpotensi berisiko di mana kerentanan mungkin ditemukan — inilah mengapa saat ini terdapat banyak masalah di ekosistem Sui. Namun, ekosistem ini sangat menjanjikan, dan banyak orang bahkan membeli token mereka. Kami yakin ekosistem ini akan defi“Selalu membawa keamanan ke tingkat berikutnya.”

Integrasi Agen AI dalam Keamanan Siber: Meningkatkan Otomatisasi Sambil Mengelola Risiko

AI dan desentralisasi saat ini menjadi topik yang ramai dibicarakan di sektor teknologi dan keamanan siber. HackenProof secara aktif terlibat dalam perkembangan ini sebagai bagian dari fokus operasionalnya. 

Dalam beberapa kasus, auditor keamanan menciptakan agen AI untuk melakukan tugas-tugas yang biasanya ditangani manusia, seperti mengidentifikasi masalah keamanan di berbagai platform bug bounty. HackenProof mendukung perusahaan keamanan tersebut dengan membantu validasi laporan yang dihasilkan oleh agen AI ini.

“Misalnya, agen AI tersebut dapat memindai repositori dan menghasilkan 200 laporan, dan kami memvalidasinya untuk menentukan apakah setiap laporan valid,” jelas Dmytro Matviiv.

Contoh lain adalah penggunaan agen AI untuk membantu mendeteksi dan mengelola laporan masuk yang dikirimkan ke HackenProof. Agen AI ini berkontribusi pada otomatisasi proses; namun, kualitas dan keandalan hasilnya sangat bergantung pada keakuratan data masukan.

"Misalnya, jika Anda sepenuhnya memercayai agen AI dan seseorang memasukkan data yang salah, hal itu dapat memicu tindakan—misalnya, agen AI tersebut mungkin mentransfer uang dari satu rekening ke rekening lain, dan sebagainya. Jadi, ini sangat berbahaya," ujar Dmytro Matviiv. "Anda harus mengisolasi lingkungan AI dan hanya bekerja dengan kasus-kasus yang Anda pahami, serta memastikan bahwa agen AI tersebut telah diverifikasi secara publik sebagai agen yang terbukti," tambahnya. 

Tahun lalu, terdapat banyak investasi dalam pengembangan AI, termasuk munculnya protokol AI Layer 1. Saat ini, AI telah menjadi komponen penting bagi banyak perusahaan, dan perusahaan yang tidak mengintegrasikan pengembangan AI ke dalam proses mereka berisiko kehilangan relevansi pasar atau peluang bisnis dalam waktu enam bulan atau lebih.

"Yang pasti, AI harus menjadi bagian dari proses bisnis Anda dan, setidaknya, membantu Anda memahami peluang bisnis apa yang mungkin terlewatkan. AI juga kemungkinan besar akan menjadi salah satu ancaman keamanan terbesar bagi setiap perusahaan," pungkas Dmytro Matviiv.