Kerentanan Baru dalam Libbitcoin Explorer 3.x Memungkinkan Pencurian Lebih dari Rp13,5 Miliar dari Pengguna Bitcoin

JAKARTA - Sebuah kerentanan baru yang ditemukan dalam perpustakaan Libbitcoin Explorer 3.x telah memungkinkan lebih dari 900,000 dolar AS (Rp13,5 miliar) dicuri dari pengguna Bitcoin, demikian laporan dari perusahaan keamanan blockchain SlowMist. Kerentanan ini juga dapat memengaruhi pengguna Ethereum, Ripple, Dogecoin, Solana, Litecoin, Bitcoin Cash, dan Zcash yang menggunakan Libbitcoin untuk menghasilkan akun.

Libbitcoin adalah implementasi dompet Bitcoin yang kadang-kadang digunakan oleh pengembang dan validator untuk membuat akun Bitcoin dan mata uang kripto lainnya. Menurut situs web resminya, digunakan oleh "Airbitz (dompet seluler), Bitprim (antarmuka pengembang), Blockchain Commons (identitas dompet terdesentralisasi), Cancoin (pertukaran terdesentralisasi)" dan aplikasi lainnya. SlowMist tidak menyebutkan aplikasi apa yang menggunakan Libbitcoin yang terkena dampak kerentanan ini.

SlowMist mengidentifikasi tim keamanan siber "Distrust" sebagai tim yang pertama kali menemukan celah ini, yang disebut kerentanan "Milk Sad". Laporan tentang kerentanan ini dilaporkan ke database kerentanan keamanan siber CEV pada tanggal 7 Agustus.

Menurut postingan tersebut, Libbitcoin Explorer memiliki mekanisme pembangkitan kunci yang cacat, yang memungkinkan kunci pribadi ditebak oleh penyerang. Akibatnya, penyerang memanfaatkan kerentanan ini untuk mencuri lebih dari 900.000 dolar AS dalam kripto pada tanggal 10 Agustus.

SlowMist menekankan bahwa satu serangan khusus berhasil mencuri lebih dari 9.7441 BTC (sekitar 278,318 dolar AS ). Perusahaan ini mengklaim telah "memblokir" alamat tersebut, yang mengimplikasikan bahwa tim tersebut telah menghubungi bursa untuk mencegah penyerang mencairkan dana. Tim ini juga menyatakan bahwa mereka akan terus memantau alamat tersebut jika dana dipindahkan ke tempat lain.

Empat anggota tim Distrust, bersama dengan delapan konsultan keamanan lepas yang mengklaim telah membantu menemukan kerentanan ini, telah membuat situs web informatif yang menjelaskan kerentanannya. Mereka menjelaskan bahwa celah ini terjadi ketika pengguna menggunakan perintah "bx seed" untuk menghasilkan seed dompet.

Perintah ini "menggunakan generator nomor acak palsu Mersenne Twister yang diinisialisasi dengan 32 bit waktu sistem," yang kurang memiliki keacakan yang memadai dan kadang-kadang menghasilkan seed yang sama untuk beberapa orang.

Para peneliti mengklaim telah menemukan kerentanannya ketika mereka dihubungi oleh seorang pengguna Libbitcoin yang BTC-nya secara misterius menghilang pada tanggal 21 Juli. Ketika pengguna tersebut menghubungi pengguna Libbitcoin lainnya untuk mencoba mencari tahu bagaimana BTC bisa hilang, orang itu menemukan bahwa pengguna lain juga mengalami pencurian BTC.

Cointelegraph mencoba menghubungi anggota Libbitcoin Institute, Eric Voskuil, untuk memberikan komentar. Sebagai tanggapan, Voskuil menyatakan bahwa perintah "bx seed" "disediakan sebagai kemudahan ketika alat tersebut digunakan untuk mendemonstrasikan perilaku yang memerlukan entropi" dan tidak dimaksudkan digunakan dalam dompet produksi.

"Jika orang benar-benar menggunakannya untuk pembibitan kunci produksi (sebagai lawan dari menggelindingkan dadu misalnya), maka peringatannya tidak memadai," ujar Voskuil. "Dalam hal tersebut, kemungkinan besar kami akan membuat beberapa perubahan dalam beberapa hari ke depan untuk memperkuat peringatan tentang penggunaan produksi, atau menghapus perintah tersebut sama sekali."

Kerentanan dompet terus menjadi masalah bagi pengguna kripto pada tahun 2023. Lebih dari 100 juta dolar AS (Rp1,5 miliar) hilang dalam peretasan Atomic Wallet pada bulan Juni, yang diakui oleh tim aplikasi pada tanggal 22 Juni. Platform sertifikasi keamanan siber CER merilis peringkat keamanan dompetnya pada bulan Juli, mencatat bahwa hanya enam dari 45 merek dompet yang menggunakan pengujian penetrasi untuk menemukan kerentananan.