Bug besar yang ditemukan di jaringan privasi teratas Zcash menggunakan kecerdasan buatan (AI) mungkin menjadi tanda peringatan bahwa cacat serupa yang belum ditemukan ada di seluruh perangkat lunak kripto dan perbankan.
Yang mengkhawatirkan komunitas kripto adalah bug yang telah ada di jaringan selama 4 tahun ini baru-baru ini ditemukan oleh Shielded Labs, pengembang nirlaba pada sistem token privasi, menggunakan model AI Opus 4.8 yang baru dirilis oleh Anthropic. Kerentanan ini, yang menurut Zcash "telah diperbaiki", jika tidak terdeteksi, dapat memungkinkan penyerang mencetak token palsu tanpa batas.
Pengungkapan ini telah memicu kepanikan di kalangan komunitas kripto dan membuat token Zcash turun hampir 38% dalam 24 jam terakhir. Beberapa orang bahkan mengatakan di media sosial bahwa "Kripto sudah mati. Kita seharusnya beralih ke AI."
Sekarang, pertanyaan yang diajukan semua orang adalah: dengan AI yang semakin canggih dan dunia bersiap untuk peluncuran model Mythos terbaru dari Anthropic, yang seharusnya jauh lebih mampu mengidentifikasi dan merangkai kelemahan di seluruh sistem, apakah keamanan industri kripto dalam bahaya?
Namun, perusahaan modal ventura kripto terkemuka Dragonfly (investor awal di Zcash) dan Managing Partner-nya, Haseeb Qureshi, memiliki pandangan yang sedikit berbeda tentang AI dan keamanan kripto. Menurutnya, AI yang menemukan kerentanan adalah hal yang baik karena hanya akan membuat kode menjadi lebih baik.
"Meskipun AI menemukan bug ini, AI juga akan memberikan solusi untuk seluruh kategori: verifikasi formal. Saya sangat optimis tentang ini sebagai jalan untuk memperkuat semua perangkat lunak di seluruh industri," katanya dalam sebuah postingan di X.
Sementara firma Haseeb terus memegang Zcash dan optimis tentang peran AI dalam keamanan kripto, Ben Goertzel, CEO perusahaan AI SingularityNET, mengatakan kepada CoinDesk bahwa kerentanan serupa tidak hanya terbatas pada keamanan kripto, tetapi kemungkinan juga bersembunyi di sistem perbankan tradisional.
"Kripto lain tidak rentan terhadap bug spesifik ini, yang merupakan kesalahan logika sederhana dalam implementasi Zcash," kata Goertzel, menjelaskan bahwa kripto lain "sangat mungkin memiliki kerentanan serupa, yang kemungkinan akan ditemukan oleh alat AI dalam beberapa minggu dan bulan mendatang."
Selain itu, Goertzel mengatakan bahwa "infrastruktur perangkat lunak bank dan lembaga terpusat lainnya juga sangat mungkin mengandung bug serius yang akan ditemukan oleh alat AI dalam waktu dekat."
'Verifikasi Formal'
Jadi, apa solusi nyata untuk ancaman AI ini?
Baik Qureshi maupun Goertzel mengatakan bahwa kode kriptografi dan infrastruktur perangkat lunak global harus beralih ke "verifikasi formal."
Proses ini pada dasarnya adalah "menulis bukti teorema matematika sedemikian rupa sehingga teorema tersebut dapat diperiksa secara otomatis," seperti yang dijelaskan oleh co-founder Ethereum, Vitalik Buterin. Dia mencatat bahwa verifikasi formal berbantuan AI dapat menjadi salah satu alat terpenting untuk keamanan siber, karena sistem AI yang semakin canggih memudahkan penemuan kerentanan perangkat lunak.
Dan Qureshi menggemakan sentimen tersebut.
"Kriptografi yang diverifikasi secara formal tidak dapat memiliki bug implementasi berdasarkan konstruksinya," katanya. "Saat ini AI sedang mengungkap kerentanan di seluruh perangkat lunak kami—browser, OS, dan blockchain tidak terkecuali," tambahnya, mencatat bahwa perangkat lunak yang diverifikasi secara formal akan menjadi "satu-satunya jalan ke depan untuk perangkat lunak yang sangat penting," yang menjadi fokus Zcash dalam peta jalannya.
Sementara itu, Goertzel menjelaskan mengapa pengembang belum menggunakan proses verifikasi formal ini untuk membuat perangkat lunak mereka kebal.
Dia berpendapat bahwa meskipun bahasa pemrograman "Rust" yang digunakan oleh Zcash dapat diverifikasi secara formal, pengembang jarang melakukannya karena memerlukan pekerjaan tambahan. Lebih lanjut, Goertzel mencatat bahwa pustaka inti Rust sering menggunakan konstruksi "tidak aman" yang sulit diverifikasi.
Namun, menulis ulang mereka agar aman akan membuat perangkat lunak lebih lambat: Sebuah masalah, yang dia nyatakan, dapat diperbaiki dengan menggunakan teknik canggih seperti "superkompilasi" untuk meningkatkan kinerja.
Perang keamanan asimetris
Namun menerapkan perlindungan tersebut lebih mudah diucapkan daripada dilakukan, CEO dan co-founder firma keamanan CertiK, Ronghui Gu, mengatakan kepada CoinDesk.
Gu mengatakan bahwa mempertahankan diri dari ancaman ini telah menjadi pertempuran yang tidak seimbang.
"Saat ini kita sedang melihat perang konsumsi token AI di mana peretas sangat termotivasi oleh keuntungan," katanya. "Untuk menemukan eksploitasi, mereka dapat membakar sejumlah besar token AI pada satu target, seperti proyek atau kontrak pintar."
Gu menjelaskan bahwa peretas yang digerakkan oleh keuntungan saat ini terlibat dalam perang konsumsi token, membakar sejumlah besar daya komputasi untuk menargetkan kontrak pintar individu. Karena firma keamanan harus melindungi ratusan klien secara bersamaan, mereka tidak dapat mengalokasikan sumber daya terpusat yang sama ke satu target tanpa menanggung biaya modal yang signifikan.
Untuk melindungi dari risiko asimetris ini, Gu mengatakan firma keamanan harus mengintegrasikan pemindai otomatis langsung ke dalam alur kerja pengembangan harian melalui sesi yang lebih kecil dan sesuai permintaan, sambil mengandalkan bukti matematika untuk menjamin bahwa kontrak memenuhi properti keamanan utama.
Bagi Gu, tantangannya bukan lagi sekadar menemukan bug sebelum penyerang melakukannya; melainkan tentang penskalaan pertahanan terhadap kerentanan ini dengan cukup cepat untuk mengimbangi sistem AI yang semakin kuat.
Sementara perdebatan tentang cara tetap unggul dari kerentanan semacam itu kemungkinan akan berlanjut, seiring AI menjadi lebih baik, lebih cepat, dan lebih pintar, pertanyaan bagi semua pengembang adalah bagaimana memastikan insiden semacam itu tidak pernah terjadi lagi.
Mungkin CEO ZODL Josh Swihart (mantan CEO Electric Coin Company, pengembang kunci Zcash) mengungkapkannya dengan tepat:
"Pertanyaan yang lebih menarik adalah bagaimana kita memastikan kerentanan tidak pernah terjadi lagi. Jawaban terbaik adalah verifikasi formal," kata Swihart dalam artikel X-nya yang berjudul "Never Again."