Penulis: Ashwin Ramachandran dan Haseeb Qureshi. Ashwin adalah Mitra Junior di Dragonfly Capital, sebuah firma modal ventura blockchain, sementara Haseeb adalah Mitra Pengelola di Dragonfly Capital.
Diterjemahkan oleh: Zhan Juan
Pada 23 Januari, Bitcoin Gold (BTG) kembali menjadi sasaran serangan 51%, yang mengakibatkan double spending senilai USD 72.000. Ini merupakan serangan kedua yang menimpa Bitcoin Gold, dan dampaknya memicu pertanyaan besar: Mengapa bursa tidak mendelisting Bitcoin Gold dan token Proof-of-Work (PoW) lain yang rentan terhadap serangan semacam ini?
Jawabannya sebenarnya sederhana. Namun sebelum itu, mari kita bahas bagaimana serangan ini terjadi.
Bitcoin Gold adalah fork dari Bitcoin yang menggunakan algoritma penambangan ZHash, yang dirancang agar tahan terhadap ASIC. ZHash dioptimalkan untuk penambangan dengan GPU berkinerja tinggi dan meningkatkan kesulitan pengembangan ASIC melalui kebutuhan memori yang besar. Karena GPU bersifat komoditas dengan pasokan jauh lebih banyak dibandingkan ASIC, GPU juga mudah disewa. Hal ini memungkinkan penyerang dengan mudah menyewa daya komputasi (hashrate) yang cukup untuk menguasai jaringan Bitcoin Gold. Platform seperti NiceHash dan MiningRigRentals telah menurunkan biaya pelaksanaan serangan 51% secara signifikan, dan pasar serupa terus bermunculan (contohnya Warihash, Luxor, dan lainnya).
Pasar Daya Hash NiceHash
Serangan terbaru terhadap Bitcoin Gold memerlukan modal awal sekitar USD 3.400 (biaya reorganisasi 29 blok setara dengan 0,4 BTC). Perlu dicatat bahwa biaya ini dapat dikompensasi melalui hadiah blok yang diperoleh dari reorganisasi rantai tersebut. Mengingat total biayanya sangat rendah, serangan ini sepenuhnya dapat dilakukan hanya dengan memanfaatkan pasar sewa GPU spot. Selain itu, dengan meningkatnya likuiditas di pasar sewa GPU, biaya untuk menguasai jaringan yang dapat ditambang dengan GPU pun semakin turun (lihat penetapan harga di NiceHash). Oleh karena itu, modal awal yang dibutuhkan penyerang hanyalah jumlah Bitcoin Gold yang ingin mereka double-spend, ditambah biaya sewa daya hash. Penyerang BTG yang berhasil melakukan double spending senilai USD 72.000 diperkirakan hanya mengeluarkan USD 3.400 (dengan pendapatan sekitar USD 4.200 dari hadiah blok), sehingga tingkat pengembalian investasi (ROI) mencapai sekitar 96,6%. Hal ini membuat serangan tersebut sangat menguntungkan.
Tentu saja, korban utama serangan 51% adalah bursa. Skema serangan umumnya sebagai berikut: penyerang menyetorkan token ke suatu bursa, menukarnya dengan aset likuid lain—misalnya Bitcoin—lalu menarik Bitcoin tersebut. Setoran awal kemudian dikembalikan melalui serangan 51%, sehingga penyerang pada dasarnya mendapatkan kembali setoran awalnya—artinya uang mereka berlipat ganda. Menyadari kerentanan ini, bursa biasanya menerapkan periode konfirmasi (awalnya, periode konfirmasi Bitcoin Gold di Binance adalah 12 blok) sebelum mengizinkan penarikan token. Namun, meskipun periode konfirmasi meningkatkan keamanan, hal ini tidak sepenuhnya mampu mencegah serangan. Untuk pemahaman lebih mendalam tentang mekanisme serangan 51%, Anda dapat merujuk pada rangkaian cuitan @hoseeb mengenai serangan terhadap Ethereum Classic (ETC) tahun lalu.
Ini adalah serangan 51% kedua terhadap Bitcoin Gold dalam dua tahun terakhir (serangan pertama jauh lebih besar skalanya), namun BTG tetap diperdagangkan di bursa seperti Binance. Timbul pertanyaan wajar: Mengapa Binance tidak mendelisting BTG?
Saat ini, volume perdagangan mingguan pasangan BTG/BTC mencapai sekitar USD 4,13 juta. Dengan asumsi hanya pasangan BTG/BTC yang diperhitungkan—dan biaya transaksi rata-rata 20 basis poin (maker/taker) dengan tingkat penggunaan BNB yang rendah—perkiraan keuntungan tahunan Binance dari pasangan ini sekitar USD 429.000.
Setelah menghitung keuntungan dari semua token PoW dengan kapitalisasi pasar kecil hingga menengah, sebuah pola mulai terlihat. Bagi Binance, mencantumkan token PoW berkapitalisasi kecil dan menengah justru lebih menguntungkan, meskipun token-token tersebut berisiko mengalami kerugian akibat serangan 51%.
Grafik di bawah ini menunjukkan estimasi persentase daya hash yang tersedia untuk disewa, serta estimasi keuntungan Binance (dengan asumsi harga pasar saat ini).
Estimasi kerentanan token PoW berdasarkan harga saat ini. Sumber: Binance API, NiceHash, MiningRigRentals.com
Catatan: Semua daya hash yang disewa akan menambah total hashrate jaringan. Oleh karena itu, penyerang harus menguasai 100% atau lebih dari hashrate saat ini agar serangan 51% berhasil. Estimasi akuisisi hashrate juga rentan terhadap penurunan harga pasar, yang dapat secara signifikan meningkatkan biaya serangan.
Keputusan listing/delisting token PoW yang rentan serangan dapat kita rangkum dalam rumus sederhana berikut:
Keuntungan Tahunan > Frekuensi (Serangan 51%) × (Rata-rata Keuntungan per Serangan)
Keuntungan harus melebihi potensi kerugian akibat serangan
Selama kondisi di atas terpenuhi, kami memperkirakan Binance dan bursa-bursa besar lainnya akan terus memperdagangkan token PoW yang rentan serangan. Bursa dapat mengurangi kemungkinan serangan 51% dengan meningkatkan jumlah konfirmasi yang diperlukan untuk penarikan (setelah serangan, Binance meningkatkan jumlah konfirmasi BTG dari 12 menjadi 20 blok).
Namun, langkah ini tentu tidak sepenuhnya mencegah serangan, melainkan hanya meningkatkan biaya modal bagi penyerang. Dengan menerapkan deteksi anomali yang cermat terhadap setoran pengguna yang melibatkan token PoW berkapitalisasi rendah, bursa dapat memperkuat upaya pencegahan. Perlu diingat bahwa karena penyewaan daya hash tidak secara langsung mengurangi hashrate di rantai, tidak ada cara untuk mendeteksi serangan 51% secara langsung sebelum terjadi.
Serangan terbaru terhadap Bitcoin Gold bernilai sekitar USD 72.000, namun Binance memperkirakan keuntungan tahunannya dari Bitcoin Gold mencapai USD 429.000. Demikian pula, serangan 51% terhadap Ethereum Classic (Ethereum Classic) memberikan keuntungan bersih sekitar USD 1,1 juta bagi penyerang, sementara Binance diproyeksikan memperoleh keuntungan dari biaya transaksi sebesar USD 3,2 juta. Inilah salah satu alasan mengapa token tetap bertahan meski mengalami serangan 51%.
Meski demikian, serangan 51% tetap menjadi fenomena yang membingungkan. Serangan ini tampaknya secara fundamental merusak model keamanan Proof-of-Work. Namun, aset kripto yang rentan terhadap serangan 51% tetap diperdagangkan di bursa-bursa utama, dan bahkan terkadang harganya justru naik secara aneh pasca-serangan (lihat ETC, BTG, dan XVG). Kita dapat memandang serangan 51% sebagai semacam "pajak" yang dikenakan pada bursa, dan memahami motif internal bursa untuk tetap mencantumkan aset kripto yang rentan—yang sebagian menjelaskan fenomena ini. Namun, mengapa harga aset kripto yang terkena serangan 51% kadang justru naik, sayangnya masih menjadi misteri.