Perimbangan rekayasa Bitcoin menunjukkan bagaimana insentif, model ancaman, dan kesederhanaan bisa menjaga sistem tetap berjalan bahkan saat aktor jahat aktif mencoba merusaknya.
Kebanyakan sistem dibuat untuk orang yang Anda kenal. Begitu Anda membiarkan orang asing bergabung, mengirim pesan, memindahkan nilai, atau memberi suara, Anda meminta mereka berkoordinasi tanpa saling percaya.
Itulah masalah yang dipecahkan Bitcoin. Bukan hanya “kriptografi keren.” Ini soal perimbangan rekayasa: memilih aturan yang tetap bekerja ketika seseorang berusaha melanggarnya.
Penyerang bukan hanya “peretas.” Mereka siapa pun yang mendapat keuntungan dari merusak asumsi Anda: penipu yang ingin hadiah gratis, spammer yang mengejar perhatian, pemberi sogokan yang ingin pengaruh, atau pesaing yang ingin layanan Anda tampak tidak andal.
Tujuannya bukan membangun sesuatu yang tidak pernah diserang. Tujuannya menjaga agar sistem tetap dapat digunakan dan dapat diprediksi saat diserang, serta membuat penyalahgunaan cukup mahal sehingga kebanyakan orang memilih jalur jujur.
Kebiasaan yang berguna: tanya diri Anda: jika saya memberi seseorang motif keuntungan yang jelas untuk menyalahgunakan fitur ini, apa yang akan mereka lakukan? Anda tak perlu menjadi paranoid. Insentif mengalahkan niat baik.
Di sistem terbuka, pola yang sama muncul cepat: otomatisasi dan spam, trik waktu kasus tepi (race condition, replay, double spending), banyak identitas yang pura-pura menjadi banyak pengguna (perilaku Sybil), kolusi orang dalam, dan kampanye yang menyebarkan kebingungan untuk mengurangi kepercayaan.
Produk kecil pun menemui ini. Bayangkan program poin yang memberi kredit untuk memposting ulasan. Jika kredit bisa diklaim lebih cepat daripada verifikasi manusia, bot akan mengumpulkannya. Jika penalti lemah, strategi termurah menjadi “salahgunakan dulu, minta maaf kemudian.”
Pesan praktis dari Bitcoin sederhana: definisikan model ancaman Anda, putuskan apa yang realistis bisa Anda pertahankan, dan jaga aturan inti cukup sederhana agar dapat diaudit saat tekanan tinggi.
Bitcoin dirancang untuk internet 2008–2009: komputer rumah, bandwidth terbatas, koneksi goyah, dan orang asing mengunduh perangkat lunak lewat tautan lambat. Sistem itu juga harus berjalan tanpa proses pendaftaran tepercaya dan tanpa cara andal untuk mengetahui siapa “sebenarnya” seseorang.
Masalah inti mudah diucapkan tapi sulit dibangun: buat uang digital yang bisa dikirim ke siapa saja, tanpa bank, tanpa membiarkan pengirim membelanjakan koin yang sama dua kali. Sistem uang digital sebelumnya biasanya bergantung pada operator sentral untuk menjaga buku besar tetap jujur. Tujuan Bitcoin adalah menghapus ketergantungan itu tanpa menggantinya dengan pemeriksaan identitas atau keanggotaan berizin.
Itulah mengapa identitas pencipta kurang penting dibanding asumsi yang dibuat desain. Jika sistem hanya bekerja karena Anda mempercayai pendiri, perusahaan, atau sekelompok admin kecil, itu sebenarnya tidak terdesentralisasi. Bitcoin berusaha membuat kepercayaan bersifat opsional dengan memasukkannya ke dalam aturan yang bisa diverifikasi siapa pun di mesin mereka sendiri.
Bitcoin menghindari pola yang menciptakan titik kegagalan tunggal atau titik tekanan tunggal:
Pilihan itu membentuk kekuatan dan batas sistem. Kekuatan: siapa pun bisa bergabung dan memverifikasi, bahkan jika mereka tidak mempercayai siapa pun. Batasnya: sistem harus tetap cukup sederhana sehingga banyak node independen bisa menjalankannya, yang memberi tekanan pada throughput, pertumbuhan penyimpanan, dan seberapa kompleks aturan bisa dibuat.
Cara praktis melihat batasan: setelah Anda menjanjikan orang asing, “Anda bisa memverifikasi setiap pembayaran sendiri,” Anda tidak bisa bergantung pada basis data tersembunyi, keputusan dukungan pelanggan, atau audit pribadi. Aturan harus bertahan ketika jaringan bermusuhan dan beberapa peserta aktif mencoba menipu.
Keamanan Bitcoin tidak dibayar oleh penjaga atau kontrak. Keamanan dibayar oleh hadiah yang bisa diperoleh siapa saja dengan mengikuti aturan. Ini salah satu perimbangan rekayasa inti Bitcoin: ubah sebagian masalah keamanan menjadi masalah bisnis.
Penambang menghabiskan uang nyata untuk listrik dan perangkat keras untuk melakukan proof-of-work. Sebagai imbalan, jaringan menawarkan koin baru (subsidy blok) dan biaya transaksi. Ketika penambang menghasilkan blok valid yang diterima node lain, mereka dibayar. Ketika mereka menghasilkan blok tidak valid, mereka tidak mendapat apa-apa karena node menolaknya. Sebagian besar kecurangan dibuat tidak menguntungkan secara default.
Perilaku “jujur” menjadi baseline yang menguntungkan karena itu cara termudah mendapatkan pembayaran konsisten. Mengikuti aturan konsensus itu dapat diprediksi. Mencoba melanggar aturan adalah taruhan bahwa orang lain akan menerima sejarah yang berbeda, yang sulit dikoordinasikan dan mudah kalah.
Kisah insentif berubah seiring waktu. Kurang lebih setiap empat tahun, subsidy berkurang setengah. Biaya lalu harus menanggung lebih banyak anggaran keamanan. Dalam praktiknya, itu mendorong sistem ke pasar biaya di mana pengguna bersaing untuk ruang blok terbatas, dan penambang mungkin lebih memperhatikan transaksi mana yang mereka masukkan dan kapan.
Insentif bisa menyimpang dari ideal. Pertambangan bisa terpusat lewat ekonomi skala dan pooling. Keuntungan jangka pendek bisa mengalahkan kepercayaan jangka panjang. Beberapa serangan tidak membutuhkan blok tidak valid, hanya strategi (misalnya, menahan blok untuk mendapatkan keuntungan). Insentif sensor juga bisa muncul lewat suap atau regulasi.
Cara konkret memikirkannya: jika seorang penambang memiliki 5 persen hashpower, jalur terbaik untuk pendapatan stabil biasanya tetap ikut lomba bersama dan mengambil bagian probabilistik dari hadiah. Rencana untuk menulis ulang sejarah masih menghabiskan sumber daya nyata sambil berisiko bahwa orang lain akan melampaui mereka.
Pelajaran desain: bayar untuk perilaku yang Anda inginkan, buat pelanggaran aturan mahal, dan anggap peserta akan mengoptimalkan untuk keuntungan, bukan "melakukan hal yang benar."
Perimbangan rekayasa Bitcoin masuk akal ketika Anda mulai dari asumsi tak ramah: seseorang selalu berusaha melanggar aturan, dan mereka hanya perlu menang sekali.
Penyerang cenderung menginginkan beberapa hasil: mengambil nilai yang bukan hak mereka, menghabiskan koin yang sama dua kali, memblokir pembayaran tertentu, atau mengguncang kepercayaan sehingga orang berhenti menggunakan sistem.
Ancaman besar awal adalah serangan Sybil, di mana satu orang berpura-pura menjadi banyak “pengguna” untuk mendapat pengaruh. Dalam sistem voting online biasa, akun palsu murah. Jawaban Bitcoin adalah proof-of-work: pengaruh diikat ke biaya dunia nyata (energi dan perangkat keras), bukan identitas. Itu tidak membuat serangan mustahil, tapi membuatnya mahal dengan cara yang bisa diukur jaringan.
Risiko yang sering disebut adalah serangan 51%. Jika satu penambang atau koalisi mengendalikan sebagian besar daya mining, mereka bisa melampaui jaringan lain dan memengaruhi rantai yang diterima.
Kekuatan itu masih terbatas:
Bitcoin juga menghadapi ancaman tingkat jaringan yang tidak memerlukan kemenangan lomba mining. Jika penyerang dapat mengontrol apa yang didengar sebuah node, mereka bisa mengisolasinya dan memberi pandangan realitas yang bias.
Risiko umum termasuk eclipse attack (mengelilingi node dengan peer yang dikendalikan penyerang), partisi jaringan (memecah jaringan sehingga grup tidak dapat berkomunikasi), denial-of-service (menguras bandwidth, CPU, atau slot koneksi), dan kemacetan yang mendorong pengguna ke kebiasaan berisiko.
Gagasan inti bukanlah “hentikan semua serangan.” Gagasan itu adalah “buat serangan mahal, terlihat, dan sementara,” sambil menjaga aturan cukup sederhana bagi banyak pihak independen untuk memverifikasi.
Ketika Anda mengharapkan penyerang, “lebih banyak fitur” tidak lagi terdengar membantu. Setiap opsi tambahan menciptakan edge case, dan edge case adalah tempat eksploit berada. Salah satu perimbangan rekayasa terpenting Bitcoin adalah sistem sengaja dibuat membosankan di banyak tempat. Membosankan lebih mudah dipikirkan, lebih mudah diuji, dan lebih sulit dimanipulasi.
Pemeriksaan aturan Bitcoin kebanyakan sederhana: tanda tangan valid, koin tidak double spent, blok mengikuti batas jelas, lalu node melanjutkan. Kesederhanaan itu bukan estetika. Itu mengurangi jumlah status aneh yang bisa dipaksa penyerang.
Beberapa batas terasa membatasi jika Anda berpikir seperti pembuat aplikasi, tapi itu memang pembatasan dengan sengaja.
Scripting Bitcoin dibatasi daripada menjadi lingkungan “jalankan program apa pun”, yang mengurangi perilaku mengejutkan. Blok dan sumber daya dibatasi untuk membantu node biasa menghindari kewalahan. Upgrade lambat dan konservatif karena satu kesalahan kecil dalam aturan yang banyak digunakan bisa menjadi masalah global.
Debat ukuran blok menunjukkan pola pikir ini. Blok lebih besar bisa berarti lebih banyak transaksi, tapi juga menaikkan biaya menjalankan node dan meningkatkan beban jaringan. Jika lebih sedikit orang bisa menjalankan node, sistem menjadi lebih mudah ditekan atau diambil alih. Kesederhanaan di sini bukan hanya soal kode. Ini juga soal menjaga partisipasi realistis bagi operator biasa.
Upgrade lambat mengurangi risiko, tapi juga memperlambat inovasi. Keuntungannya adalah perubahan mendapat tinjauan bertahun-tahun dan umpan balik skeptis, sering dari orang yang mengasumsikan hal terburuk.
Untuk sistem kecil, Anda bisa meniru prinsip tanpa meniru proses persisnya: jaga aturan sederhana, batasi penggunaan sumber daya, hindari fitur yang menciptakan perilaku sulit diprediksi, dan perlakukan perubahan seolah-olah penyerang akan mempelajarinya baris demi baris.
Banyak perimbangan rekayasa Bitcoin tampak aneh sampai Anda berasumsi ada penyerang aktif. Sistem ini bukan berusaha jadi database tercepat. Ia berusaha jadi database yang terus bekerja ketika beberapa peserta berbohong, menipu, dan berkoordinasi.
Desentralisasi menukar kecepatan dengan kemandirian. Karena siapa pun bisa bergabung dan memverifikasi, jaringan tidak bisa bergantung pada jam pusat atau pembuat keputusan tunggal. Konfirmasi membutuhkan waktu karena Anda menunggu jaringan menutupi transaksi di bawah kerja lebih banyak, membuatnya mahal untuk menulis ulang.
Keamanan menukar kenyamanan dengan biaya. Bitcoin menghabiskan sumber daya dunia nyata (energi dan perangkat keras) untuk membuat serangan mahal. Anggap itu seperti anggaran pertahanan: Anda tidak mendapatkan keamanan secara gratis.
Transparansi menukar privasi dengan auditabilitas. Buku besar publik memungkinkan orang asing memverifikasi aturan tanpa izin, tapi juga mengekspos pola. Mitigasi ada, tapi bersifat parsial dan sering bergantung pada perilaku pengguna.
Finalitas menukar fleksibilitas dengan kepercayaan. Rollback sulit dengan sengaja karena janji tersebut adalah bahwa sejarah yang terkonfirmasi mahal untuk diubah. Itu membuat pembalikan penipuan sulit, dan juga berarti kesalahan jujur bisa menyakitkan.
Apa yang Anda dapatkan sebagai imbalan adalah konkret:
Analogi sederhana: bayangkan game online di mana item langka bisa diperdagangkan. Jika Anda ingin perdagangan dapat dipercaya antar orang asing, Anda mungkin menerima penyelesaian lebih lambat (periode tunggu), membayar biaya berkelanjutan (cek anti-penipuan atau staking), dan menyimpan log publik kepemilikan. Anda juga membuat pembalikan langka dan sangat dibatasi, karena rollback yang mudah mengundang penipu yang menuntut “refund” setelah menerima item.
Jika Anda menganggap pengguna selalu jujur, Anda akan mempertahankan sistem yang salah. Sikap Bitcoin tegas: beberapa orang akan mencoba menipu, dan mereka akan terus mencoba.
Berikut pendekatan praktis.
Jelaskan secara spesifik apa yang tidak boleh dicuri, dipalsukan, atau ditulis ulang: saldo akun, log audit, tindakan admin, keputusan payout, atau integritas catatan bersama.
Jangan berhenti pada “peretas.” Sertakan orang dalam, pesaing, spammer, dan perusuh bosan. Tuliskan apa yang mereka dapatkan: uang, pengaruh, data, balas dendam, atau sekadar menyebabkan gangguan.
Jika menipu menguntungkan, itu akan terjadi. Tambahkan biaya pada jalur buruk (biaya, deposit, penundaan penarikan, friksi, izin lebih ketat) sambil menjaga penggunaan normal tetap mulus. Tujuannya bukan keamanan sempurna. Tujuannya membuat sebagian besar serangan menjadi kesepakatan buruk.
Pencegahan tidak cukup. Tambahkan alarm dan rem: rate limit, timeout, audit, dan proses rollback yang jelas. Jika seorang pengguna tiba-tiba memicu 500 tindakan bernilai tinggi dalam semenit, jeda dan minta pemeriksaan ekstra. Rencanakan apa yang terjadi ketika penipuan lolos.
Aturan kompleks menciptakan tempat bersembunyi. Uji kasus tepi: retry, keterlambatan jaringan, kegagalan parsial, dan “bagaimana jika pesan ini tiba dua kali?” Lakukan review meja di mana satu orang berperan sebagai penyerang dan mencoba mendapatkan keuntungan.
Contoh kecil: jika Anda membangun sistem kredit rujukan, asetnya adalah “kredit diberikan secara adil.” Penyerang mungkin membuat akun palsu untuk mengumpulkan kredit. Anda bisa menaikkan biaya penyalahgunaan (penundaan sebelum kredit dibuka, batas per perangkat, pemeriksaan lebih ketat untuk pola mencurigakan), mencatat setiap pemberian, dan menjaga jalur rollback yang jelas jika gelombang penipuan lewat.
Bayangkan sebuah pasar komunitas kecil. Orang membeli dan menjual jasa menggunakan kredit internal, dan reputasi membantu memilih siapa yang dipercaya. Ada moderator sukarela, plus program rujukan yang memberi kredit saat Anda membawa pengguna baru.
Mulailah dengan menyebutkan aktor dan apa arti “menang.” Pembeli ingin pekerjaan bagus dengan risiko rendah. Penjual ingin pesanan stabil dan pencairan cepat. Moderator ingin lebih sedikit sengketa. Spammer rujukan ingin kredit dengan usaha paling ringan, meski akun baru palsu.
Kemudian petakan insentif agar perilaku jujur menjadi jalur mudah. Jika penjual hanya dibayar saat pembeli mengonfirmasi, pembeli bisa menahan pencairan. Jika penjual dibayar segera, penipu bisa mengambil uang dan menghilang. Jalan tengah: minta deposit kecil dari penjual dan lepaskan pembayaran bertahap, dengan pelepasan otomatis jika pembeli diam setelah jangka waktu singkat.
Asumsikan ancaman akan terjadi: ulasan palsu untuk menaikkan reputasi, klaim “saya tidak menerima” setelah pengiriman, kolusi untuk menambang hadiah, dan pertanian akun untuk mengeksploitasi kredit rujukan.
Responsnya harus membosankan dan jelas. Minta deposit untuk listing bernilai tinggi dan skala sesuai ukuran transaksi. Tambahkan waktu tunggu sebelum kredit rujukan dibuka, dan buka hanya setelah aktivitas nyata (bukan hanya pendaftaran). Gunakan alur sengketa dengan kotak waktu sederhana: pembeli mengajukan dalam X hari, penjual merespons dalam Y hari, lalu moderator memutuskan berdasarkan beberapa bukti yang diizinkan.
Transparansi membantu tanpa mengubah sistem menjadi alat pengawasan. Simpan log append-only dari peristiwa penting: listing dibuat, escrow dibiayai, pengiriman dikonfirmasi, sengketa dibuka, sengketa diselesaikan. Jangan catat pesan pribadi, hanya tindakan yang relevan. Itu membuat lebih sulit menulis ulang sejarah kemudian dan lebih mudah melihat pola seperti ring ulasan.
Pelajaran ala Bitcoin: Anda tidak perlu kepercayaan sempurna. Anda perlu aturan di mana menipu mahal, penggunaan jujur mudah, dan sistem tetap bisa dipahami sementara seseorang aktif mencoba merusaknya.
Tim sering meniru bagian yang terlihat dan melewatkan inti perimbangan rekayasa Bitcoin. Hasilnya sistem yang terlihat “mirip kripto” tapi rusak saat seseorang mencoba mendapat keuntungan dari merusaknya.
Satu jebakan adalah meniru token tanpa meniru anggaran keamanan di baliknya. Perlindungan Bitcoin dibayar: penambang menghabiskan sumber daya nyata, dan mereka hanya mendapat imbalan jika mengikuti aturan. Jika proyek Anda mencetak token tapi tidak menciptakan biaya berkelanjutan untuk menyerang (atau hadiah jelas untuk mempertahankan), Anda bisa berakhir dengan teater keamanan.
Kesalahan lain: mengira orang akan berperilaku karena proyek “digerakkan komunitas.” Insentif mengalahkan suasana. Jika pengguna mendapat lebih banyak dengan menipu daripada bekerja sama, seseorang akan menipu.
Kompleksitas adalah pembunuh diam-diam. Kasus khusus, override admin, dan jalur pengecualian menciptakan tempat penyerang bisa bersembunyi. Banyak sistem tidak “diretas” secara dramatis. Mereka dikuras lewat interaksi aturan yang terlupakan.
Ancaman operasional juga sering diabaikan. Bitcoin adalah protokol, tapi sistem nyata berjalan di jaringan, server, dan tim. Rencanakan spam yang menaikkan biaya, outage dan kegagalan parsial di mana pengguna melihat “kebenaran” yang berbeda, risiko orang dalam seperti akun admin yang dikompromikan, kegagalan dependency (penyedia cloud, DNS, jalur pembayaran), dan respons insiden yang lambat.
Perubahan aturan yang sering adalah jebakan lain. Jika Anda mengubah aturan sering, Anda membuka jendela serangan baru selama setiap transisi. Penyerang menyukai momen migrasi karena pengguna bingung, pemantauan tidak sempurna, dan rencana rollback belum teruji.
Contoh sederhana: bayangkan aplikasi hadiah yang mengeluarkan poin dan papan peringkat. Jika poin bisa diperoleh lewat tindakan yang mudah dipalsukan (bot, self-referral, check-in ter-script), Anda telah menciptakan pasar untuk penipuan. Memperbaikinya dengan puluhan pengecualian biasanya memperburuk. Lebih baik putuskan apa yang bisa Anda verifikasi dengan murah, batasi eksposur, dan jaga aturan tetap stabil.
Jika Anda ingin meminjam pelajaran dari perimbangan rekayasa Bitcoin, jaga agar tetap praktis: definisikan apa yang Anda lindungi, anggap seseorang akan mencoba merusaknya, dan pastikan serangan sukses termurah tetap terlalu mahal atau terlalu berisik untuk terus berjalan.
Sebelum menulis kode lebih banyak, periksa lima hal:
Lalu tanyakan beberapa pertanyaan tegas:
Putuskan apa yang tidak akan Anda dukung. Perkecil lingkup dengan sengaja. Jika Anda tidak bisa mempertahankan penarikan instan, lakukan penarikan tertunda. Jika Anda tidak bisa mencegah ulasan palsu, minta pembelian terverifikasi. Setiap fitur adalah permukaan pertahanan tambahan.
Dua langkah berikutnya yang muat di satu halaman:
Jika Anda membangun di platform aplikasi cepat seperti Koder.ai (koder.ai), bantu jadikan pemikiran advesarial bagian dari siklus bangun. Mode perencanaan bisa memaksa Anda merinci alur pengguna dan kasus tepi sebelum implementasi, dan snapshot serta rollback memberi jalur pemulihan yang lebih aman ketika set aturan pertama Anda belum cukup.
Rancang untuk orang asing, bukan teman. Asumsikan seseorang akan mencoba mendapat keuntungan dari merusak aturan Anda (spam, penipuan, kolusi, denial-of-service), lalu buat jalur jujur menjadi cara termurah dan termudah untuk mendapat apa yang mereka inginkan.
Prompt yang berguna: “Jika saya membayar seseorang untuk menyalahgunakan fitur ini, apa yang akan mereka lakukan pertama kali?”
Model ancaman adalah daftar singkat dari:
Jaga agar tetap kecil dan konkret sehingga model itu benar-benar bisa dipakai saat membangun.
Di sistem terbuka, identitas murah: satu orang bisa membuat ribuan akun. Jika pengaruh dihitung dari “jumlah pengguna”, penyerang bisa menang dengan memalsukan pengguna.
Bitcoin menghubungkan pengaruh ke proof-of-work, yang memiliki biaya dunia nyata. Idenya bukan "gunakan mining," melainkan: dasarkan kekuasaan pada sesuatu yang mahal untuk dipalsukan (biaya, stake, waktu, usaha terverifikasi, sumber daya langka).
Penambang dibayar ketika mereka menghasilkan blok yang diterima node lain. Jika mereka melanggar aturan, node menolak blok itu dan penambang tidak mendapat apa-apa.
Itu menyelaraskan insentif: cara termudah untuk mendapatkan pendapatan konsisten adalah mengikuti aturan konsensus, bukan melawannya.
Seorang penyerang 51% umumnya bisa:
Mereka tetap tidak bisa menandatangani transaksi tanpa kunci privat atau mencetak koin dari udara. Pelajaran utama: definisikan secara tepat apa yang bisa diubah penyerang, lalu desain mengelilingi batasan itu.
Tidak semua serangan "memecahkan aturan". Beberapa tentang mengontrol apa yang dilihat korban atau apa yang bisa mereka lakukan.
Contoh umum:
Untuk tim produk, analognya adalah rate limit, throttling penyalahgunaan, dan merancang untuk kegagalan parsial serta retry.
Setiap fitur menambah edge case, dan edge case adalah tempat eksploit bersembunyi (replay, race condition, transisi status aneh).
Aturan sederhana:
Jika harus menambah kompleksitas, batasi dengan pembatas ketat dan invarian yang jelas.
Mulailah dengan tiga langkah:
Contoh: kredit rujukan harus terbuka setelah aktivitas nyata, bukan hanya pendaftaran, dan pola mencurigakan otomatis menghentikan pemberian hadiah.
Kegagalan umum:
Aturan praktis: jika Anda tidak bisa menjelaskan aturan dengan jelas, Anda tidak bisa membelanya.
Gunakan untuk memaksa disiplin, bukan menambah kompleksitas. Alur kerja praktis:
Tujuannya produk yang tetap dapat diprediksi sementara seseorang aktif mencoba merusaknya. (Saran ini cocok dipakai saat membangun cepat di platform seperti Koder.ai (koder.ai).)
