Bitcoin Senilai Rp13,6 M Hilang karena Kurangnya Keamanan Platform Dompet Aset Kripto

Belum lama ini, laporan dari firma keamanan blockchain SlowMist menyebutkan bahwa Libbitcoin Explorer 3.x Library memiliki kerentanan yang memungkinkan lebih dari US$900.000 (Rp13,6 miliar)  dicuri dari pengguna Bitcoin. Kerentanan ini juga dapat memengaruhi investor jenis kripto lain, seperti Ethereum, Ripple, Dogecoin, Solana, Litecoin, Bitcoin Cash, dan Zcash yang menggunakan Libbitcoin.

Dilansir dari Cointelegraph, Jumat (11/8/2023), Libbitcoin merupakan implementasi dompet Bitcoin yang terkadang digunakan oleh pengembang dan validator untuk membuat akun Bitcoin dan mata uang kripto lainnya.

Menurut situs web resminya, Libbitcoin telah digunakan oleh "Airbitz (mobile wallet), Bitprim (developer interface), Blockchain Commons (decentralized wallet identity), Cancoin (decentralized exchange)" dan aplikasi lainnya.

Baca Juga: Bitcoin Kembali Dominasi Pembelian Aset Kripto pada Paruh Pertama 2023

SlowMist tidak menyebutkan secara spesifik aplikasi mana yang akan terdampak dari kerentanan Libbitcoin tersebut. SlowMist mengidentifikasi tim keamanan siber "Distrust" sebagai tim yang pertama kali menemukan celah ini, yang disebut kerentanan "Milk Sad." Kerentanan ini dilaporkan pada 7 Agustus ke database kerentanan keamanan siber CEV.

Menurut laporan tersebut, Libbitcoin Explorer memiliki mekanisme generasi kunci yang salah, yang memungkinkan kunci pribadi ditebak dengan mudah. Akibatnya, pada 10 Agustus, dikabarkan bahwa seseorang telah memanfaatkan kerentanan tersebut untuk mencuri aset kripto sebesar lebih dari US$900.000 (Rp13,6 miliar).

Selain itu, SlowMist juga menekankan bahwa salah satu serangan telah berhasil mencuri lebih dari 9.7441 BTC (Rp4,23 miliar). Perusahaan mengklaim telah "memblokir" alamat rekening tersebut, yang berarti tim telah menghubungi bursa untuk mencegah penyerang mencairkan dana. Tim juga menyatakan mereka akan memantau alamat rekening tersebut jika dana dipindahkan ke tempat lain.

Empat anggota tim Distrust bersama dengan delapan konsultan keamanan lepas yang mengklaim telah membantu menemukan kerentanan tersebut, telah membuat situs web informatif yang menjelaskan tentang kerentanan tersebut.

Mereka menjelaskan celah tersebut dibuat ketika pengguna menggunakan perintah "bx seed" untuk menghasilkan dompet baru. Perintah ini menggunakan generator bilangan Pseudorandom Mersenne Twister (PRNG) yang diinisialisasi dengan 32 bit waktu sistem. Generator tersebut tidak memiliki cukup keacakan dan oleh karena itu terkadang menghasilkan seed yang sama untuk beberapa orang.

Para peneliti menyebut mereka dapat menemukan kerentanan tersebut ketika mereka dihubungi oleh pengguna Libbitcoin yang BTC-nya secara misterius hilang pada 21 Juli. Ketika pengguna tersebut menghubungi pengguna Libbitcoin lainnya untuk mencoba mencari tahu bagaimana BTC tersebut bisa hilang. Ia menemukan pengguna lain juga kehilangan Bitcoin mereka secara misterius.

Anggota Institut Libbitcoin, Eric Voskuil menyatakan bahwa perintah bx seed disediakan sebagai kenyamanan saat alat digunakan untuk mendemonstrasikan perilaku yang memerlukan entropi dan tidak dimaksudkan untuk digunakan dalam menghasilkan dompet.

"Jika orang-orang memang menggunakannya untuk produksi seeding kunci (sebagai lawan melempar dadu misalnya), peringatannya tidak memadai. (Dalam hal ini), kami kemungkinan akan membuat perubahan dalam beberapa hari ke depan untuk memperkuat peringatan terhadap penggunaan produksi atau menghapus perintah tersebut sama sekali."

Sebagaimana diketahui, kerentanan dompet kripto terus menjadi masalah bagi investor kripto pada tahun 2023. Lebih dari US$100 juta (Rp1,5 triliun) hilang dalam peretasan Atomic Wallet pada Juni, yang diakui oleh tim aplikasi pada 22 Juni. Platform sertifikasi cybersecurity CER merilis peringkat keamanan dompetnya pada Juli, dengan mencatat bahwa hanya enam dari 45 merek dompet yang menggunakan pengujian penetrasi untuk menemukan kerentanan.

Baca Juga: Prancis Akan Berlakukan Amendemen Undang-Undang terkait Kripto Mulai 2024