Bitcoin Senilai Rp13,6 M Hilang karena Kurangnya Keamanan Platform Dompet Aset Kripto

Belum lama ini, laporan dari firma keamanan blockchain SlowMist menyebutkan bahwa Libbitcoin Explorer 3.x Library memiliki kerentanan yang memungkinkan lebih dari US$900.000 (Rp13,6 miliar)  dicuri dari pengguna Bitcoin. Kerentanan ini juga dapat memengaruhi investor jenis kripto lain, seperti Ethereum, Ripple, Dogecoin, Solana, Litecoin, Bitcoin Cash, dan Zcash yang menggunakan Libbitcoin.

Dilansir dari Cointelegraph, Jumat (11/8/2023), Libbitcoin merupakan implementasi dompet Bitcoin yang terkadang digunakan oleh pengembang dan validator untuk membuat akun Bitcoin dan mata uang kripto lainnya.

Menurut situs web resminya, Libbitcoin telah digunakan oleh "Airbitz (mobile wallet), Bitprim (developer interface), Blockchain Commons (decentralized wallet identity), Cancoin (decentralized exchange)" dan aplikasi lainnya.

Baca Juga: Bitcoin Kembali Dominasi Pembelian Aset Kripto pada Paruh Pertama 2023

SlowMist tidak menyebutkan secara spesifik aplikasi mana yang akan terdampak dari kerentanan Libbitcoin tersebut. SlowMist mengidentifikasi tim keamanan siber "Distrust" sebagai tim yang pertama kali menemukan celah ini, yang disebut kerentanan "Milk Sad." Kerentanan ini dilaporkan pada 7 Agustus ke database kerentanan keamanan siber CEV.

Menurut laporan tersebut, Libbitcoin Explorer memiliki mekanisme generasi kunci yang salah, yang memungkinkan kunci pribadi ditebak dengan mudah. Akibatnya, pada 10 Agustus, dikabarkan bahwa seseorang telah memanfaatkan kerentanan tersebut untuk mencuri aset kripto sebesar lebih dari US$900.000 (Rp13,6 miliar).

Selain itu, SlowMist juga menekankan bahwa salah satu serangan telah berhasil mencuri lebih dari 9.7441 BTC (Rp4,23 miliar). Perusahaan mengklaim telah "memblokir" alamat rekening tersebut, yang berarti tim telah menghubungi bursa untuk mencegah penyerang mencairkan dana. Tim juga menyatakan mereka akan memantau alamat rekening tersebut jika dana dipindahkan ke tempat lain.

Empat anggota tim Distrust bersama dengan delapan konsultan keamanan lepas yang mengklaim telah membantu menemukan kerentanan tersebut, telah membuat situs web informatif yang menjelaskan tentang kerentanan tersebut.

Mereka menjelaskan celah tersebut dibuat ketika pengguna menggunakan perintah "bx seed" untuk menghasilkan dompet baru. Perintah ini menggunakan generator bilangan Pseudorandom Mersenne Twister (PRNG) yang diinisialisasi dengan 32 bit waktu sistem. Generator tersebut tidak memiliki cukup keacakan dan oleh karena itu terkadang menghasilkan seed yang sama untuk beberapa orang.

Para peneliti menyebut mereka dapat menemukan kerentanan tersebut ketika mereka dihubungi oleh pengguna Libbitcoin yang BTC-nya secara misterius hilang pada 21 Juli. Ketika pengguna tersebut menghubungi pengguna Libbitcoin lainnya untuk mencoba mencari tahu bagaimana BTC tersebut bisa hilang. Ia menemukan pengguna lain juga kehilangan Bitcoin mereka secara misterius.