Perusahaan keamanan siber Unciphered mengaku telah menemukan adanya celah peretasan pada jutaan crypto wallet yang dibuat pada periode 2011 dan 2015. Hal itu terungkap ketika Unciphered berupaya mengatasi kerentanan yang memengaruhi package populer untuk crypto wallet berbasis browser bernama BitcoinJS.
Dalam keterangan resminya, Unciphered mengungkapkan bahwa sumber risiko yang dimaksud adalah fungsi secure random yang ditemukan pada pustaka Javascript JSBN. Beberapa entitas yang menggunakan versi awal dari BitcoinJS yang disebut lebih rentan untuk mengalami serangan siber.
“Sulit untuk mengukur kerangka waktu yang tepat untuk risiko tersebut, tetapi dalam pengamatan perusahaan, crypto wallet yang dibuat pada periode 2011 sampai 2015 lah yang lebih rentan.”
Salah satu crypto wallet yang diduga berisiko adalah wallet yang dibuat pada Blockchain.com (sebelumnya Blockchain.info). Menurut Unciphered, saat perusahaan berupaya memulihkan akses pelanggan terhadap Bitcoin wallet di Januari 2022 lalu, pihaknya menemukan potensi masalah yang dihasilkan oleh BitcoinJS dan proyek turunannya.
Terlebih lagi, nilai dana yang ada di dalamnya juga tidak sedikit. Meskipun begitu, Unciphered mengaku tidak mengetahui pihak mana saja yang terdampak dan telah melakukan pekerjaan tersebut selama lebih dari satu tahun untuk menyelesaikan permasalahan yang ada.
Sebagai langkah mitigasi, pihaknya mengaku sudah melakukan koordinasi dengan berbagai entitas. Masing-masing pihak juga meresponnya dengan meneruskan informasi tersebut ke penggunanya.
Menurut Unciphered langkah terbaik untuk mengamankan aset kripto yang berisiko adalah dengan memindahkannya ke wallet baru yang dibuat dengan perangkat lunak tepercaya.
Ada Beberapa Proyek yang Berisiko
Dalam pandangan Unciphered, BitcoinJS digunakan oleh banyak proyek kripto pada awal tahun 2010-an. Beberapa di antaranya ada yang masih aktif menggunakannya. Namun, banyak juga yang sudah menghentikannya ataupun mengalihkannya ke platform lain.
BitAddress, Bitcore by Bitpay, Bitgo, dan Dogecoin.info by Block.io merupakan beberapa proyek yang masih berstatus online dan aktif menggunakan BitcoinJS. Sementara itu, proyek-proyek lainnya; seperti Blockchain.info, Blocktrail, Dark Wallet, GreenAddress sudah memindahkannya ke domain baru.
“Tidak semua proyek tersebut terkena dampak, dan bagi proyek yang terdampak hasilnya juga akan bervariasi, tergantung berapa lama penggunaan kode, mitigasi tambahan serta ukuran basis pengguna pada saat itu,” tambah Unciphered.
Unciphered menegaskan bahwa risiko yang muncul bisa menimbulkan potensi eksplotasi. Oleh sebab itu, setiap investor yang membuat self-custodial wallet menggunakan browser web sebelum tahun 2016 dianjurkan untuk memindahkan dana ke wallet baru yang lebih aman.
Ada Ratusan Juta Dollar AS di Banyak Crypto Wallet
Salah satu pendiri Unciphered, Eric Michaud, mengatakan bahwa setiap teknologi buatan manusia memiliki kelemahan yang berasal dari penciptanya. Dalam kasus ini, dia menyebut kerentanan yang ada sebagai “Randstorm”, karena berasal dari program wallet yang menciptakan kunci kriptografi yang tidak cukup acak.
Menurut Michaud, alih-alih membuat kunci elektronik dengan perbandingan 1:1 triliun, mereka membuat kunci dengan perbandingan 1 dalam ribuan.
“Wallet yang paling mudah diretas adalah yang dibuat sebelum Maret 2012 yang menampung sekitar US$100 juta. Pengguna komputer rumahan juga bisa meretas wallet tersebut,” beber Michaud.
Selain itu, terdapat juga Bitcoin senilai US$50 miliar yang disimpan dalam wallet keluaran antara 2012 dan 2015. Dalam pandangan Unchipered, sebagian besar dari wallet tersebut tidak berisiko. Akan tetapi, 2% di antaranya berisiko dengan nilai aset sekitar US$500 juta.
Bagaimana pendapat Anda tentang topik ini? Yuk, sampaikan pendapat Anda di grup Telegram kami. Jangan lupa follow akun Instagram dan Twitter BeInCrypto Indonesia, agar Anda tetap update dengan informasi terkini seputar dunia kripto!
Trusted
Penyangkalan
Seluruh informasi yang terkandung dalam situs kami dipublikasikan dengan niat baik dan bertujuan memberikan informasi umum semata. Tindakan apa pun yang dilakukan oleh para pembaca atas informasi dari situs kami merupakan tanggung jawab mereka pribadi.
