Audit CertiK: Mengintip Lembaga Auditor Keamanan Web3 Terbesar
Frasa "Diaudit oleh CertiK" muncul di halaman arahan token seperti stiker pengaman pada kursi mobil anak. Tujuannya adalah untuk mengatakan: seseorang telah memeriksa ini, Anda bisa tenang. CertiK adalah nama terbesar dalam keamanan Web3, dan bagi banyak investor, lencana tersebut telah menjadi singkatan dari "mungkin aman." Masalahnya adalah beberapa proyek yang menggunakan lencana tersebut tetap saja telah kehilangan jutaan dolar. Jadi, apa sebenarnya yang Anda dapatkan dari audit CertiK? Artikel ini membahas apa itu CertiK, bagaimana audit dan skor Skynet-nya bekerja, di mana audit tersebut membantu, dan di mana lencana tersebut secara diam-diam berhenti berarti banyak.
Siapa CertiK dan Mengapa Perusahaan Ini Mendominasi Keamanan Web3?
CertiK tidak menciptakan audit kontrak pintar. Mereka mengindustrialisasikannya. Perusahaan ini mengubah proses yang lambat dan manual yang dilakukan oleh segelintir kriptografer menjadi sebuah merek yang dapat dibeli, ditampilkan, dan ditunjukkan oleh sebuah proyek ketika investor bertanya apakah kode tersebut aman.
Dari laboratorium Yale menjadi perusahaan senilai 2 miliar dolar
Dua profesor ilmu komputer memulai proyek ini pada tahun 2018: Ronghui Gu dari Universitas Columbia dan Zhong Shao dari Yale. Ide dasarnya bersifat akademis, bahkan cenderung kaku. Mereka menggunakan verifikasi formal, metode matematika untuk membuktikan bahwa perangkat lunak melakukan apa yang diklaimnya, untuk membuat kode blockchain terbukti benar, bukan hanya sekadar "diuji". Ide yang unik. Namun, proyek ini tetap berhasil mengumpulkan dana yang besar. Pada April 2022, CertiK telah mengumpulkan sekitar $88 juta dengan valuasi $2 miliar, menurut TechCrunch , dengan Goldman Sachs, Tiger Global, Sequoia, dan Vision Fund milik SoftBank turut serta memberikan pendanaan. Sembilan putaran pendanaan, total sekitar $296 juta. Lumayan untuk sepasang akademisi yang memulai karir mereka dengan membuktikan teorema tentang kompilator.
Apa yang sebenarnya diukur oleh "auditor terbesar"?
Angka-angka utama CertiK berkaitan dengan volume. Lebih dari 6.100 proyek diaudit. Lebih dari 91.000 kerentanan ditandai di seluruh audit keamanan tersebut. Aset senilai lebih dari $360 miliar ditinjau, dengan klien seperti Aave, Polygon, dan BNB Chain dalam daftar mereka. Skalanya nyata. Namun, di situlah letak masalahnya, karena "terbesar" menghitung berapa banyak audit yang dilakukan oleh sebuah perusahaan, bukan seberapa dalam setiap audit tersebut. Sebuah pabrik yang mencetak lebih banyak laporan daripada siapa pun memang mengesankan, tetapi volume dan ketelitian bukanlah hal yang sama, dan kesenjangan di antara keduanya adalah tempat sebagian besar kritik berada. Berikut adalah versi konkret dari keluhan tersebut. CertiK meninjau begitu banyak proyek sehingga namanya muncul pada token meme yang tidak penting dan protokol yang serius, dan persetujuan dua hari mendapatkan lencana yang sama dengan tinjauan selama berbulan-bulan. Pembeli jarang melihat perbedaannya. Penyamaan itulah masalah sebenarnya dengan lencana tersebut.
Bagaimana Audit CertiK Sebenarnya Berfungsi, Langkah demi Langkah
Audit CertiK bukanlah satu hal saja. Audit ini terdiri dari dua lapisan yang ditumpuk bersama, dan memahami perbedaannya akan memberi Anda banyak informasi tentang apa yang dapat dan tidak dapat dijanjikan oleh laporan akhir.
Verifikasi formal vs tinjauan manual
Lapisan pertama adalah verifikasi formal. Alih-alih menjalankan kontrak pintar dan mengamati apa yang terjadi, CertiK membangun model matematis dari kode tersebut dan membuktikan apakah properti tertentu selalu berlaku, terlepas dari inputnya. Kompilator DeepSEA-nya ada untuk mendukung hal ini. Verifikasi formal sangat ampuh untuk pertanyaan-pertanyaan spesifik, seperti "apakah saldo ini pernah bisa menjadi negatif," tetapi hanya memeriksa properti yang telah ditentukan oleh seseorang.
Lapisan kedua adalah peninjauan manual: para insinyur manusia membaca kode baris demi baris, mencari kesalahan logika, asumsi yang salah, dan jenis kesalahan halus yang tidak akan ditandai oleh model karena tidak ada yang memerintahkannya untuk mencari. Di sinilah sebagian besar temuan nyata berasal. Tergantung pada seberapa banyak kode yang ada dan seberapa rumitnya, seluruh proses berlangsung dari sekitar 48 jam untuk sesuatu yang kecil hingga beberapa minggu untuk protokol yang besar.
Membaca laporan: "diselesaikan" vs "diakui"
Hasil akhirnya adalah sebuah laporan. Laporan tersebut menandai setiap kerentanan berdasarkan tingkat keparahannya — kritis, mayor, minor, dan informatif — dan mencatat apa yang dilakukan proyek untuk mengatasinya. Kolom terakhir itu lebih penting daripada yang disadari orang. Temuan yang ditandai "terselesaikan" berarti tim telah memperbaikinya dan CertiK telah memeriksanya kembali. Temuan yang ditandai "diakui" berarti tim telah membacanya, mengabaikannya, dan tetap merilisnya. Dua proyek dapat sama-sama memiliki lencana yang sama, sementara satu proyek memperbaiki semuanya dan proyek lainnya mengabaikan peringatan kritisnya. Lencana tersebut tidak membedakan keduanya. Laporanlah yang membedakannya. Inilah juga mengapa tanggal pada laporan itu penting. Kode dirilis, lalu berubah; audit dari satu tahun dan sepuluh peningkatan yang lalu menggambarkan proyek yang mungkin tidak lagi ada di blockchain dalam bentuk yang ditinjau.
| Panggung | Apa yang dilakukan CertiK? | Tangkapan | Titik buta |
|---|---|---|---|
| Verifikasi formal | Membuktikan sifat-sifat kode yang ditentukan secara matematis. | Kesalahan matematika dan logika dalam aturan yang telah ditetapkan. | Segala sesuatu di luar properti yang ditentukan |
| Tinjauan manual | Para insinyur membaca kode tersebut secara manual. | Kesalahan logika, asumsi yang salah, pola serangan yang sudah dikenal. | Sistem off-chain, perubahan kode pasca-audit |
| Laporan dan audit ulang | Mencantumkan temuan berdasarkan tingkat keparahan, memeriksa ulang perbaikan. | Apakah masalah-masalah tersebut telah ditangani? | Apakah tim tersebut benar-benar menerapkan versi yang sudah diperbaiki? |
Skynet dan Skor Keamanan CertiK Web3
Audit hanyalah gambaran sesaat. Skynet adalah upaya CertiK untuk menjual sesuatu yang berkelanjutan: dasbor waktu nyata yang memantau proyek setelah diluncurkan dan memberikan Skor Keamanan kepada masing-masing proyek. Perusahaan tersebut mengatakan bahwa mereka memantau lebih dari 20.000 proyek di blockchain.
Skor tersebut menggabungkan beberapa masukan. Skor ini mempertimbangkan apakah suatu proyek telah diaudit, apakah timnya telah lulus pemeriksaan KYC CertiK (yang tersedia dalam tingkatan emas, perak, dan perunggu), dan bagaimana perilaku kontrak — Skynet menganalisis perilaku kontrak di blockchain melalui pemantauan runtime dan menandai anomali saat terjadi. Skynet juga menjalankan peringatan pemantauan di blockchain untuk penipuan exit scam dan eksploitasi, serta papan peringkat yang memberi peringkat proyek satu sama lain. Sebagai sinyal sekilas, skor Skynet benar-benar bermanfaat. Skor ini lebih cepat daripada membaca laporan lengkap dan menandai tanda bahaya yang jelas. Namun, skor ini juga merupakan produk yang dijual CertiK, yang sebagian dibangun berdasarkan masukan yang diberikan CertiK, dan skor tinggi tidak pernah menjadi jaminan bahwa suatu proyek aman. Perlakukan skor ini sebagai satu titik data, bukan vonis. Rekam jejak membuktikan hal itu. Proyek-proyek telah memiliki skor Skynet yang terhormat hingga saat mereka dieksploitasi atau diam-diam ditinggalkan, karena skor yang sebagian besar dibangun berdasarkan perilaku masa lalu tidak dapat melihat perubahan jahat yang akan datang. Skor ini memberi tahu Anda bahwa suatu proyek belum meledak. Ia tidak bisa mengatakan bahwa ia tidak akan pernah melakukannya.
Di Luar Audit: Ekosistem CertiK Lainnya
Audit adalah inti utamanya, tetapi CertiK menawarkan serangkaian layanan yang lebih luas di sekitarnya. Pengujian penetrasi melancarkan serangan simulasi pada dompet, bursa, dan aplikasi. Program bug bounty, yang dijalankan tanpa biaya platform, membayar peretas eksternal untuk menemukan celah keamanan sebelum para penjahat melakukannya. Kemudian ada KYC untuk memverifikasi identitas pendiri anonim, SkyInsights untuk kepatuhan dan pekerjaan anti pencucian uang yang dibutuhkan perusahaan yang teregulasi berdasarkan MiCA dan DORA, dan SkyTrace untuk melacak dana curian di berbagai blockchain setelah terjadi kesalahan. Semua itu tidak menggantikan audit. Layanan-layanan tersebut melengkapi audit, yang merupakan cara bagaimana layanan satu kali berubah menjadi langganan yang mencakup seluruh siklus hidup proyek terdesentralisasi.
Diaudit Kemudian Diretas: Ketika Celah Serangan Lolos
Inilah bagian yang dilewati oleh penjelasan-penjelasan yang muluk-muluk. Audit adalah gambaran sekilas dari kode tertentu pada momen tertentu. Ini bukan jaminan, dan memperlakukannya seperti jaminan adalah bagaimana orang kehilangan uang pada proyek-proyek yang telah dilakukan dengan "benar" di atas kertas.
Apa yang tidak dicakup oleh audit
Audit kontrak pintar memeriksa kontrak itu sendiri. Audit ini tidak memeriksa apakah para pendiri memegang kunci admin yang memungkinkan mereka menguras pool. Audit ini tidak memeriksa situs web, server, atau kunci pribadi di baliknya. Audit ini tidak memeriksa versi kode yang diimplementasikan tim setelah audit berakhir, yang dapat berbeda dari apa yang telah ditinjau. Dan audit ini tidak dapat menghentikan tim yang memutuskan untuk melarikan diri dengan uang tersebut. Sebagian besar vektor serangan yang menguras proyek bukanlah bug dalam kontrak yang diaudit sama sekali. Serangan tersebut berada di celah-celah di sekitarnya.
Kasus Merlin DEX: terdeteksi tetapi dieksploitasi
Merlin DEX adalah contoh yang paling bersih. CertiK mengauditnya, dan audit tersebut benar-benar menandai masalahnya: kontrak proyek tersebut sangat terpusat, dengan akses istimewa yang dapat disalahgunakan oleh orang dalam yang jahat. Pada April 2023, vektor yang persis sama digunakan untuk menguras sekitar $1,82 juta. Audit tersebut tidak salah; audit tersebut menyebutkan risikonya. Tetapi peringatan tersebut berada di kolom "diakui" alih-alih di kolom "diselesaikan", dan eksploitasi tersebut langsung masuk melalui pintu yang telah ditunjukkan oleh laporan tersebut. Menemukan celah keamanan adalah bagian yang mudah. Bertindak berdasarkan celah tersebut adalah tugas klien, dan tim Merlin tidak pernah melakukannya.
Jika dilihat dari perspektif yang lebih luas, tren ini mengkhawatirkan bagi seluruh industri. Laporan Hack3d dari CertiK sendiri menunjukkan kerugian yang meningkat, bukan menurun. Perusahaan tersebut menghitung sekitar $2,36 miliar yang dicuri dari 760 insiden pada tahun 2024 , kemudian sekitar $3,35 miliar dari 630 insiden pada tahun 2025 , tahun yang dipengaruhi oleh satu pelanggaran data Bybit senilai $1,45 miliar. Data independen dari Chainalysis memperkirakan pencurian pada tahun 2025 mendekati $3,4 miliar, di mana sekitar $2,02 miliar terkait dengan kelompok yang terkait dengan Korea Utara. Para operator tersebut semakin menargetkan orang dan infrastruktur di sekitar kontrak daripada kontrak itu sendiri, yang justru merupakan area yang tidak dicakup oleh audit. Lebih banyak audit tidak berarti berkurangnya kejahatan.
| Tahun | Kerugian yang dilaporkan | Insiden | Lagu hit terbesar |
|---|---|---|---|
| Tahun 2024 | $2,36 miliar | 760 | — |
| Tahun 2025 | $3,35 miliar | 630 | Bybit, $1,45 miliar |
Insiden Kraken dan Masalah Kepercayaan CertiK
Bagi sebuah perusahaan yang menjual kepercayaan, perilaku mereka sendiri adalah bagian dari produk tersebut. Dua kejadian telah membuat hal itu menjadi canggung.
Pada Juni 2024, peneliti CertiK menemukan celah keamanan zero-day di bursa Kraken dan, alih-alih hanya melaporkannya, mereka menggunakannya untuk menarik sekitar $3 juta dari sistem Kraken . CertiK menganggapnya sebagai bukti betapa seriusnya celah keamanan tersebut. Kraken menyebutnya sebagai pemerasan dan mengatakan bahwa perusahaan awalnya menolak untuk mengembalikan dana tersebut sampai didesak. Uang tersebut akhirnya dikembalikan, tetapi kejadian itu terlihat buruk: sebuah perusahaan keamanan mengeksploitasi klien dalam skala besar untuk menunjukkan kekuasaannya. Kemudian pada awal 2025, CertiK meminta maaf atas pekerjaan yang terkait dengan Huione, sebuah operasi di Kamboja yang kemudian dikaitkan dengan kompleks penipuan kerja paksa. Semua ini tidak berarti audit CertiK tidak berharga. Ini berarti bahwa sebuah perusahaan yang meminta pasar untuk mempercayai perkataannya sekarang harus membangun kembali sebagian dari kepercayaan tersebut, dan mereka melakukannya sambil dilaporkan mempersiapkan IPO di masa mendatang dengan valuasi sekitar $2 miliar.
CertiK vs Perusahaan Keamanan Web3 Lainnya
CertiK adalah nama yang paling dikenal di bidang keamanan blockchain, bukan satu-satunya, dan bagi banyak proyek, CertiK bukanlah pilihan yang jelas. Pasar audit secara kasar terbagi menjadi pemain skala besar dan perusahaan butik. Perusahaan butik menangani lebih sedikit klien dan cenderung melakukan audit yang lebih mendalam, dan banyak yang menetapkan standar keamanan mereka sendiri yang melebihi kemampuan perusahaan dengan volume klien besar untuk menegakkannya. Protokol yang menangani uang dalam jumlah besar sering kali membayar untuk pendapat kedua dari salah satu perusahaan butik tersebut justru karena alasan itu. Skala dan kedalaman bukanlah hal yang sama, dan pilihan yang tepat bergantung pada tahap dan anggaran Anda. Harga mencerminkan kisaran tersebut: audit token kecil dapat mencapai beberapa ribu dolar, sementara tinjauan lengkap protokol yang kompleks dapat mencapai angka ratusan ribu dolar.
| Tegas | Fokus | Dikenal karena | Model |
|---|---|---|---|
| CertiK | Keamanan Web3 yang luas | Volume, Skynet, pengakuan merek | Skala |
| Jejak Potongan | Keamanan dengan jaminan tinggi | Peninjauan manual mendalam, penelitian | Butik |
| OpenZeppelin | Keamanan kontrak pintar | Perpustakaan kontrak yang banyak digunakan | Butik |
| Halborn | Blockchain dan keamanan infrastruktur | Pengujian penetrasi, eksploitasi tingkat lanjut | Ukuran sedang |
| Meretas | Audit dan pemantauan Web3 | Audit yang hemat biaya | Ukuran sedang |
Cara Membaca Lencana yang Diaudit oleh CertiK
Jadi, Anda melihat "Diaudit oleh CertiK" pada sebuah proyek. Sebelum Anda mempercayainya, buka laporan sebenarnya dan periksa lima hal. Pertama, ruang lingkup: kontrak mana yang ditinjau, dan apakah bagian yang menahan uang Anda termasuk di antaranya? Kedua, tanggal dan hash commit, lalu bandingkan dengan kode yang sebenarnya berjalan, karena seringkali ada perbedaan. Ketiga, temuan: berapa banyak yang kritis, dan apakah diselesaikan atau hanya diakui? Keempat, apakah versi yang diaudit adalah versi yang diimplementasikan. Kelima, jangan hanya mengandalkan skor Skynet; itu hanya ringkasan, bukan dokumen lengkap.
Sedikit catatan tambahan tentang simbol token, karena orang sering salah paham. CertiK sebagai perusahaan swasta tidak memiliki saham. CTK adalah token dari Shentu chain, jaringan proof-of-stake terpisah yang terhubung dengan pekerjaan awal CertiK. Membeli CTK bukan berarti membeli saham di bisnis audit. Jika Anda mencari "saham CertiK," belum ada saham yang tersedia.
Seberapa Berharga Audit CertiK Sebenarnya?
Jadi, apakah audit CertiK bermanfaat? Ya, dalam batas tertentu. Audit ini meningkatkan standar. Audit ini menyaring kode yang asal-asalan, mencatat risiko nyata, dan memberikan daftar tugas kepada tim yang serius untuk dikerjakan. Namun, audit ini tidak dapat menjamin integritas orang-orang yang terlibat. Audit ini tidak menjamin bahwa kode yang diimplementasikan sesuai dengan yang telah ditinjau, atau bahwa satu pun risiko yang ditandai telah benar-benar ditutup. Anggaplah lencana tersebut sebagai awal dari ketelitian Anda, bukan garis finish. Jadi, lain kali Anda melihat "Diaudit oleh CertiK," lakukan hal membosankan yang hampir tidak dilakukan siapa pun: buka laporan dan baca kolom yang menyatakan apa yang telah diperbaiki. Dan jika proyek tersebut tidak mau menunjukkan laporannya kepada Anda? Keengganan itulah jawabannya. Lencana yang tidak dapat Anda periksa hanyalah sebuah logo.
