Audit keamanan saat ini sudah jadi keharusan. Tak hanya di lingkungan pengembangan aplikasi tradisional, melainkan lebih utama pengembangan aplikasi blockchain seperti smart contract. Karakteristik permanen membuatnya tak mudah dimodifikasi pasca rilis.
Aplikasi smart contract kini tak sesederhana beberapa tahun lalu. Kemunculan perangkat-perangkat DeFi (decentralised finance atau keuangan terdesentralisasi) jadi salah satu pemicunya. Sistem DeFi memungkinkan token-token yang sudah ada saling berinteraksi, misalnya membentuk pasar, tanpa harus mengubah kode token-token tersebut. Token-token baru lebih-lebih lagi, secara native mengintegrasikan fitur DeFi di dalam kodenya.
Safemoon, salah satu desain token yang kodenya paling banyak ditiru (diduplikasi), contohnya, menyematkan mekanisme trading otomatis ke pasar DEX (decentralised exchange) Pancakeswap (tiruan Uniswap) setiap kali threshold (batas minimum) token terakumulasi tercapai.
Fasilitas-fasilitas keren ini memang makin menggairahkan orang untuk berbelanja token-token yang baru muncul ke permukaan. Harapannya, dengan jadi early adopter, mereka bisa meraup cuan lebih banyak ketika token yang mereka beli tersebut makin dikenal orang (dan makin banyak dibeli, tentu saja).
Akan tetapi, dengan maraknya pembobolan smart contract, para pembeli token pun makin teredukasi. Audit keamanan misalnya, jadi salah satu yang mereka tanyakan pada si pemilik proyek token. Proyek-proyek berkantong tebal tentu tak sulit menyewa jasa auditor-auditor terkenal.
Lain halnya dengan proyek-proyek dengan modal seadanya. Proyek-proyek ini lalu beralih ke audit ala kadarnya. Techrate misalnya, yang menawarkan jasa audit gratis, di samping jasa audit berbayar mereka. Maka mereka kebanjiran order audit. Audit gratisan, yang laporannya tak sampai sepuluh lembar dengan font besar-besar dan tak mengandung detail sedikit pun.
Techrate sih sudah memberi disclaimer bahwa audit mereka itu versi gratisan, yang tak banyak memberi jaminan keamanan. Tentu bukan salah mereka kalau mereka tak banyak menyediakan sumber daya untuk mengerjakan orderan gratisan. Sudah gratis mau bagus, mana bisa?
Tapi rupanya dokumen audit tersebut dipakai oleh proyek-proyek token untuk mengklaim bahwa smart contract mereka telah diaudit. Demi mencentang satu kotak permintaan investor.
Malang sebenarnya bagi para investor. Laporan audit yang tak seberapa ini dijadikan stempel keamanan yang sebenarnya memberikan persepsi palsu, seolah smart contract yang dikembangkan itu aman. Dalam istilah bahasa Inggris terkenal dengan “false perception of security“.
False perception of security ini melenakan orang, maka sangat berbahaya.
Audit keamanan memang bermanfaat untuk memastikan bahwa security best practice dipatuhi dalam pengembangan perangkat lunak. Ini sisi baiknya. Di sisi lain, audit keamanan yang dilakukan hanya sekedar stempel saja justru memberikan rasa aman yang palsu, baik bagi pemilik proyek maupun bagi investor dan pengguna token.
Lantas bagaimana baiknya?
Bila Anda investor kecil-kecilan, tak banyak yang bisa Anda lakukan selain dari menghindari proyek-proyek yang seperti ini. Perlu latihan dan pengalaman untuk mendeteksi proyek ala kadarnya. Namun bila Anda investor besar, misalnya berencana menuang miliaran rupiah ke dalam proyek, maka ada dua pilihan yang bisa Anda ambil. Pertama, memaksa mereka untuk menyewa jasa audit keamanan yang bagus, atau kedua, Anda sendiri yang menyewa auditor untuk memberikan advis bagi Anda.
Sebenarnya ada satu lagi persoalan tentang audit keamanan, yang berlaku juga secara universal (tak hanya di bidang blockchain). Yakni, audit keamanan tidak menjamin seratus persen kode akan bebas kesalahan (bug). Namun bukan berarti audit keamanan tidak diperlukan. Audit keamanan akan memperkecil peluang eksploitasi keamanan.
Dari sini kita bisa melihat bahwa dana yang kita investasikan dalam proyek-proyek tokenisasi berbasis smart contract memang tak pernah 100% aman. Apalagi sistem kompleks seperti DeFi yang terhubung satu sama lain, yang meningkatkan probabilitas terjadinya kesalahan. Untuk itulah perlu kehati-hatian ekstra dalam “bermain” token. Tak hanya risiko fluktuasi harga saja yang harus diperhatikan. Risiko keamanan pun juga harus jadi konsideran.