Para peneliti di konferensi keamanan Black Hat mengungkapkan bahwa pertukaran crypto mungkin rentan terhadap peretas. Meskipun pertukaran crypto memiliki privasi dan keamanan yang tinggi untuk melindungi dana mereka, para peneliti masih menemukan tiga cara peretas dapat menyerang pertukaran crypto ini, menurut Wired pada 9 Agustus.

Serangan pertukaran crypto beroperasi lebih seperti “brankas bank kuno dengan enam kunci yang semuanya harus berputar pada saat yang sama,” kata laporan itu. Kunci pribadi Cryptocurrency dipecah menjadi potongan-potongan kecil. Itu berarti penyerang harus menemukan mereka bersama sebelum mencuri dana.

Aumasson, seorang kriptografer, dan Omer Shlomovits, salah satu pendiri perusahaan manajemen kunci KZen Networks memecah serangan menjadi tiga kategori: serangan orang dalam, serangan yang mengeksploitasi hubungan antara pertukaran dan pelanggan, dan ekstraksi bagian-bagian kunci rahasia.

Orang dalam atau lembaga keuangan lain yang mengeksploitasi kerentanan di perpustakaan sumber terbuka yang diproduksi oleh pertukaran mata uang crypto adalah cara pertama di mana peretas dapat menyerang bursa, kata laporan itu. Ini menjelaskan bahwa:

“Di perpustakaan yang rentan, mekanisme penyegaran memungkinkan salah satu pemegang kunci untuk memulai penyegaran dan kemudian memanipulasi prosesnya sehingga beberapa komponen kunci benar-benar berubah dan yang lainnya tetap sama. Meskipun Anda tidak dapat menggabungkan potongan kunci lama dan baru, penyerang pada dasarnya dapat menyebabkan penolakan layanan, mengunci bursa secara permanen dari dananya sendiri.”

Penyerang juga dapat memanfaatkan manajemen kunci lain yang tidak disebutkan namanya dari kelemahan pustaka sumber terbuka dalam proses rotasi kunci.

Penyerang kemudian dapat memanipulasi hubungan antara pertukaran dan pelanggannya dengan pernyataan validasi yang salah.

Mereka yang memiliki motivasi jahat perlahan dapat mengetahui kunci pribadi dari pengguna pertukaran melalui beberapa penyegaran kunci. Kemudian penukar nakal dapat memulai proses pencurian, menurut laporan itu.

Cara terakhir para peneliti mengatakan serangan dapat terjadi adalah ketika pihak tepercaya pertukaran crypto mendapatkan bagian kunci mereka. Masing-masing pihak dilaporkan menghasilkan beberapa nomor acak untuk verifikasi publik.

Para peneliti menunjukkan bahwa Binance, misalnya, tidak memeriksa nilai-nilai acak ini dan harus memperbaiki masalah tersebut pada bulan Maret. Laporan itu menambahkan bahwa:

“Pihak jahat dalam pembuatan kunci dapat mengirim pesan yang dibuat khusus kepada semua orang yang pada dasarnya akan memilih dan menetapkan semua nilai ini, memungkinkan penyerang untuk menggunakan informasi yang tidak divalidasi ini nanti untuk mengekstrak bagian semua orang dari kunci rahasia.”

Shlomovits dan Aumasson mengatakan kepada berita bahwa tujuan dari penelitian ini adalah untuk memperhatikan betapa mudahnya membuat kesalahan saat menerapkan kunci terdistribusi multi-pihak untuk pertukaran mata uang crypto. Secara khusus, kesalahan ini bisa menjadi lebih rentan di perpustakaan sumber terbuka.

LEAVE A REPLY

Please enter your comment!
Please enter your name here