Keamanan

AI Temukan Bug Kritis Ethereum yang Bisa Lumpuhkan Validator

AI Temukan Bug Kritis Ethereum yang Bisa Lumpuhkan Validator

Key Takeaways

Eksperimen Ethereum Foundation menggunakan AI agent berhasil menemukan celah kritis CVE-2026-34219 di sistem gossipsub yang bisa mematikan node validator. Namun mayoritas kerja justru memilah bug asli dari ratusan false positive.

Tim pengembang di Ethereum Foundation baru-baru ini melakukan eksperimen menarik: melepas agen kecerdasan buatan (AI) untuk memburu bug di perangkat lunak yang menjalankan jaringan Ethereum. Hasilnya mengejutkan โ€” AI berhasil menemukan celah keamanan kritis yang bisa melumpuhkan node validator. Namun temuan ini juga mengungkap kelemahan fundamental AI dalam audit keamanan: agen tersebut menghasilkan begitu banyak false positive yang meyakinkan sehingga mayoritas pekerjaan justru dihabiskan untuk memilah mana bug asli dan mana yang hanya terlihat asli.

Bug di Jantung Sistem Pesan Ethereum

Ethereum berjalan di atas ribuan node โ€” komputer biasa yang menjalankan perangkat lunak jaringan, masing-masing menyimpan salinan blockchain dan meneruskan pesan ke tetangganya. Di atas lapisan itu duduk para validator, node yang mempertaruhkan ether (ETH) dan memberikan suara tentang blok mana yang valid. Validator hanya berfungsi jika pesan mencapai mereka. Bug yang ditemukan tim Ethereum Foundation berada di gossipsub, sistem penyampai pesan antar-node. Celah ini memungkinkan sistem jarak jauh memicu crash โ€” di mana perangkat lunak node menemui perhitungan mustahil, menyerah, dan mematikan diri sendiri, membawa validator offline hingga operator merestartnya secara manual.

CVE-2026-34219 dan Respons Cepat

Bug ini dengan cepat diperbaiki dan diungkapkan sebagai CVE-2026-34219 dengan kredit kepada tim Protocol Security Ethereum Foundation. Namun perhatian yang lebih luas justru tertuju pada prosesnya, bukan hasilnya. Nikos Baxevanis, penulis laporan resmi Ethereum Foundation, menulis: "Kejutannya adalah betapa sedikit pekerjaan yang dihabiskan untuk menemukan bug, dan betapa banyak yang dihabiskan untuk membedakan bug asli dari yang hanya terlihat asli."

Narasi AI: Meyakinkan tapi Sering Menyesatkan

Perbedaan mendasar terletak pada bagaimana AI melaporkan temuannya dibandingkan dengan alat tradisional. Sebuah fuzzer โ€” alat standar yang melemparkan data rusak ke perangkat lunak sampai sesuatu rusak โ€” hanya mengembalikan catatan crash dan lokasi terjadinya, yang bisa dikonfirmasi insinyur dalam hitungan menit. Sebaliknya, agen AI mengembalikan narasi lengkap: melacak bagaimana celah bisa dijangkau, berargumen mengapa itu penting, mengusulkan peringkat keparahan, dan menyediakan kode yang menunjukkan serangan. Semuanya tiba dalam prosa fasih yang terbaca sama persis โ€” entah bug itu asli atau rekaan.

Tiga Jenis False Positive yang Berulang

Tim Ethereum Foundation mengidentifikasi tiga jenis false positive yang terus berulang. Pertama, crash yang hanya terjadi di build pengujian, di mana kompiler mengaktifkan pemeriksaan keamanan yang tidak dibawa oleh perangkat lunak produksi, sehingga tidak ada yang rusak untuk pengguna nyata. Kedua, serangan yang hanya berfungsi jika nilai berbahaya ditanam di dalam program secara manual, karena setiap rute yang bisa diambil pihak luar untuk mengirimkannya akan menolak nilai tersebut terlebih dahulu. Ketiga berasal dari verifikasi formal โ€” praktik membuktikan secara matematis bahwa kode berperilaku benar โ€” di mana bukti lolos dengan mendemonstrasikan sesuatu yang sepele benar dan tidak memberi tahu apapun tentang perangkat lunak sebenarnya.

Eksploitasi Dunia Nyata dan Keterbatasan AI

Kekhawatiran lain adalah agen AI kuat dalam menalar satu momen tunggal namun lemah pada bug yang merentang di urutan langkah-langkah yang masing-masing valid secara individu, di mana tidak ada yang salah kecuali urutannya. Ironisnya, ini menggambarkan sebagian besar eksploit yang menguras protokol kripto tahun ini. Serangan Edel Finance awal Juli ini menyiasati price feed Chainlink yang akurat melalui lapisan pembungkus di atasnya. Serangan governance BONK yang menguras $20 juta dari treasury juga terdiri dari transaksi biasa: membeli token, voting, dan mengeksekusi proposal yang lolos โ€” masing-masing langkah sah secara teknis.

Pendekatan Hibrida Masa Depan

Jawaban Ethereum Foundation adalah pendekatan hibrida: membiarkan agen AI mengusulkan urutan mana yang layak diuji, lalu tetap menjalankan pengujian tradisional dan review manusia untuk memvalidasinya. Eksperimen ini menjadi pelajaran berharga bagi seluruh ekosistem blockchain tentang batasan dan potensi AI dalam audit keamanan. Untuk sekarang, manusia tetap tak tergantikan dalam memisahkan sinyal dari derau โ€” bahkan ketika AI menulis laporan bug yang terlihat sempurna.

Sumber: CoinDesk / Ethereum Foundation Blog

Disclaimer

Artikel ini hanya untuk tujuan informasi dan edukasi. Konten yang disajikan tidak dimaksudkan sebagai nasihat keuangan, investasi, atau trading. Setiap keputusan investasi adalah tanggung jawab pribadi. Selalu lakukan riset mendalam (DYOR - Do Your Own Research) sebelum berinvestasi dalam aset kripto atau digital.

Komentar (0)

Silakan login untuk bergabung dalam diskusi.

Login untuk Komentar