Insiden Keamanan Bitcoin: Kehilangan Dana Akibat Kunci Privat Terkompromi
Seorang pengguna Bitcoin mengalami kehilangan dana setelah mengirim cryptocurrency ke dompet yang terkompromi, di mana pengidentifikasi transaksi dari hadiah blok coinbase digunakan sebagai kunci privat. Pengidentifikasi transaksi dari Coinbase pada blok 924.982 berfungsi sebagai kunci privat untuk dompet tersebut, menciptakan kerentanan keamanan yang memicu aktivitas bot otomatis, menurut publikasi cryptocurrency Protos.
Aktivitas Bot Otomatis dan Mempool Bitcoin
Insiden ini mendorong program komputer otomatis yang terhubung ke mempool Bitcoin, yaitu kumpulan transaksi yang tertunda, untuk bersaing memperebutkan dana tersebut. Bot-bot ini secara otomatis mendeteksi setoran ke dompet yang terkompromi dan menyiarkan transaksi replace-by-fee untuk mengalahkan biaya yang ditawarkan oleh program pesaing kepada penambang untuk transaksi penarikan.
Dalam kasus yang dilaporkan, 0,84 BTC dikirim dan hilang ke alamat dengan kunci privat non-random yang berasal dari pengidentifikasi coinbase blok, menurut data blockchain. Sistem otomatis ini menggunakan mekanisme replace-by-fee untuk secara bertahap meningkatkan biaya transaksi dalam persaingan dengan bot lainnya. Dalam beberapa kasus, transaksi anak membayar hingga 99,9% dari nilai transaksi dalam bentuk biaya, menurut pengamat yang memantau aktivitas semacam itu.
Pentingnya Kunci Privat dalam Keamanan Bitcoin
Kunci privat merupakan elemen keamanan yang paling krusial untuk melindungi kepemilikan Bitcoin. Ketika kunci privat terpapar atau berasal dari pola data yang umum, pencurian biasanya terjadi dengan cepat, menurut para ahli keamanan cryptocurrency. Banyak dompet yang terkompromi dengan kunci privat non-random menggunakan frasa benih dengan pola yang dapat diprediksi, termasuk kata-kata yang diulang seperti “password,” “bitcoin,” atau “abandon,” menurut peneliti keamanan.
Setiap pola non-random yang kurang memiliki entropi sejati dapat mengekspos kunci privat dan memungkinkan sistem otomatis untuk menguras setoran ke kunci publik yang sesuai. Insiden ini menunjukkan bahwa non-randomness dapat melampaui pola kata sederhana untuk mencakup informasi publik yang tercatat di buku besar Bitcoin, seperti pengidentifikasi transaksi hadiah blok.
Risiko dan Solusi untuk Keamanan Kunci Privat
Kegagalan untuk memperkenalkan entropi mekanis saat menghasilkan kunci privat dapat memungkinkan serangan brute-force dan mengkompromikan keamanan dana, menurut para ahli kriptografi. Meng-hashing kunci privat melalui pengidentifikasi transaksi tidak memberikan entropi yang cukup untuk penyimpanan kunci privat yang aman, seperti yang ditunjukkan oleh insiden ini.
“Penambang dan pengamat mempool lainnya dapat memantau pengidentifikasi transaksi untuk non-randomness dan mencoba menyiarkan transaksi pencurian menggunakan kunci privat yang terpapar,” menurut analis keamanan blockchain.
