11 Agustus 2023
SINGAPURA – Jutaan investor mata uang kripto ritel dan institusional menghadapi risiko terkurasnya dana dari dompet aset digital mereka tanpa sepengetahuan mereka karena kelemahan keamanan baru, demikian temuan sebuah penelitian.
Penelitian yang dilakukan oleh perusahaan penyimpanan aset digital Fireblocks menemukan bahwa serangkaian kerentanan, yang dijuluki BitForge, memengaruhi penyedia dompet populer seperti Coinbase WaaS, Zengo dan Binance, di antara lusinan penyedia lainnya.
BitForge mengacu pada kelemahan keamanan pada perangkat lunak atau produk yang tidak diketahui penjualnya, dan belum ditambal atau diperbaiki. Bug tersebut ditemukan oleh peneliti Fireblocks dan dikonfirmasi pada bulan Mei.
Jika tidak diperbaiki, kata perusahaan itu, penyerang akan dapat menguras dana dari dompet jutaan pelanggan ritel dan institusi dalam hitungan detik, tanpa sepengetahuan pengguna atau penjual.
“Seperti penemuan kerentanan lainnya, ketika kode penyedia layanan ditemukan di dekatnya, kami hanya dapat memastikan apakah kode tersebut telah diperbaiki,” kata perusahaan itu. “Para peneliti di Coinbase dan Zengo terkenal di bidangnya dan bekerja sangat erat dengan tim peneliti Fireblocks dengan cepat dan transparan untuk memastikan kerentanan mereka telah diperbaiki.”
Perusahaan tersebut menambahkan bahwa kerentanan tersebut belum dieksploitasi, dan tidak mungkin mengetahui apakah penyerang berhasil mencuri kunci pribadi sampai dana dipindahkan ke dompet baru.
Kelemahan ditemukan di beberapa protokol komputasi multipartai kriptografi (MPC), termasuk GG-18, GG-20 dan implementasi Lindell 17. Protokol MPC ini paling umum digunakan oleh penyedia dompet.
Biasanya, ketika satu kunci pribadi disimpan di satu tempat, pemilik dompet harus percaya bahwa perangkat atau pihak yang memegang kunci pribadi tersebut benar-benar aman. Dengan MPC, kunci privat didesentralisasi. Itu dipecah menjadi beberapa bagian, dienkripsi dan didistribusikan ke banyak pihak, jadi tidak ada satu titik kegagalan pun.
Pavel Berengoltz, salah satu pendiri dan chief technology officer di Fireblocks, mengatakan bahwa MPC kini ada di mana-mana dalam industri aset digital, namun tidak semua pengembang dan tim MPC diciptakan sama.
“Perusahaan yang menggunakan teknologi Web3 harus bekerja sama dengan pakar keamanan yang memiliki pengetahuan dan sumber daya untuk tetap menjadi yang terdepan dan memitigasi kerentanan. Mempertahankan dan memperbarui teknologi infrastruktur inti, seperti dompet Web3, sangat penting untuk mencegah pencurian dan serangan, yang berjumlah hampir US$500 juta (S$674 juta) pada paruh pertama tahun 2023,” katanya.
Temuan ini dipresentasikan pada hari Kamis di konferensi Black Hat USA di Las Vegas.
Untuk memungkinkan pengguna mengetahui apakah mereka saat ini terpengaruh oleh BitForge, Fireblocks telah menerbitkan Pemeriksa Status BitForge di www.fireblocks.com/BitForgesehingga mereka dapat memeriksa apakah mereka mungkin terkena risiko.