Menu Close

Peneliti Mengungkap Kelemahan Keamanan Utama di Bursa Kripto

Peneliti Mengungkap Kelemahan Keamanan Utama di Bursa Kripto
  • Peneliti keamanan siber mengungkap kelemahan utama dalam pertukaran mata uang kripto yang dapat membuat pengguna kehilangan banyak uang.
  • Para peneliti – Jean-Philippe Aumasson, salah satu pendiri perusahaan teknologi kripto, Taurus Group, dan wakil presiden di Kudelski Security dan Omer Shlomovits, pencipta dompet kripto seluler, ZenGo – menolak menyebutkan nama bursa yang berisiko.

Selama Wired Black Hat Security Conference, yang diadakan pada 6 Agustus, Aumasson dan Shlomovits membahas tiga kelemahan utama pada penyimpanan pertukaran crypto dari dana pengguna. Menurut penelitian mereka, pertukaran crypto berkali-kali jatuh ke kelemahan ini karena lemah atau kegagalan untuk mengimplementasikan protokol keamanan dengan benar.

Pertukaran Crypto secara signifikan meningkatkan keamanan mereka, terutama dalam melindungi kunci pribadi pengguna. Tidak seperti brankas bank tradisional, pertukaran kripto tidak menyimpan semua kunci pribadi di satu tempat untuk menghindari satu titik serangan kegagalan. Untuk meningkatkan keamanan, pertukaran membagi kunci privat menjadi beberapa komponen sehingga tidak ada satu pihak pun yang secara langsung memiliki akses ke dana.

Namun, prosedur "kompleks" untuk mengamankan kunci privat melalui pemisahan menimbulkan beberapa kekurangan dalam implementasi.

Salah satu kelemahan utama terletak pada memiliki orang dalam yang jahat "mengeksploitasi kerentanan di perpustakaan sumber terbuka" di salah satu bursa utama, kata para peneliti. Kerentanan pustaka muncul dalam fungsi refresh. Mereka lebih lanjut menolak untuk memberikan nama bursa tersebut karena alasan keamanan.

Banyak bursa teratas memiliki fungsi penyegaran dari kunci pribadi terpisah yang dipegang oleh setiap orang untuk mencegah penyerang mengumpulkan setiap bagian dari "kunci pribadi terpisah" secara perlahan dan mendapatkan akses ke dana dompet. Menurut Aummasson:

“Mekanisme penyegaran (pustaka yang rentan) memungkinkan salah satu pemegang kunci untuk memulai penyegaran dan kemudian memanipulasi prosesnya, sehingga beberapa komponen kunci berubah, dan yang lainnya tetap sama.”

Meskipun ini tidak akan mengizinkan penyerang untuk mencuri dana, bursa dapat secara permanen dikunci dari akses ke semua dananya.

Cacat kedua adalah dari perusahaan manajemen aset digital yang tidak disebutkan namanya di mana penyerang yang mengendalikan pertukaran akan membahayakan hubungan antara bursa dan pelanggannya. Serangan ini juga berfokus pada pengacakan kunci pribadi, di mana penyerang menarik kunci pribadi pengguna setelah beberapa pengacakan kunci. Dengan kunci privat, dana ada di tangan penyerang.

Akhirnya, serangan generasi kunci, pertama kali diperhatikan Pertukaran binance (siapa yang memecahkan masalah tersebut sebagian di bulan Maret). Penyerang menargetkan awal dari proses pembuatan kunci saat pihak tepercaya mendapatkan angka acak untuk mekanisme keamanan 'tanpa pengetahuan bukti ".

Dalam kasus Binance, pustaka sumber terbuka tidak pernah mengaudit atau memeriksa nomor acak, yang memungkinkan peretas untuk mengirimkan nilai acak mereka ke pihak tepercaya "split private key" dan, sebagai gantinya, mengekstrak bagian semua orang dari kunci pribadi – mengakses dana.

Masalah ini berasal dari seseorang yang memiliki hak istimewa dalam pertukaran crypto yang memulai serangan, para peneliti menyimpulkan.