Seorang pengguna Bitcoin kehilangan dana setelah mengirim mata uang kripto ke dompet yang telah disusupi yang menggunakan pengidentifikasi transaksi dari hadiah blok coinbase sebagai kunci pribadinya.
Ringkasan
- Seorang pengguna Bitcoin mengirim 0,84 BTC ke dompet yang disusupi yang kunci pribadinya berasal dari pengidentifikasi transaksi coinbase blok 924.982, sehingga terekspos pencurian.
- Program otomatis yang memantau mempool mendeteksi deposit dan berkompetisi melalui transaksi replace-by-fee, terkadang membayar hampir 100% dari nilai dalam biaya untuk mengklaim dana tersebut.
- Menggunakan data yang dapat diprediksi atau tersedia untuk umum—seperti ID transaksi atau pola kata umum—untuk kunci pribadi memungkinkan eksploitasi segera, menyoroti pentingnya kritis entropi sejati dalam pembuatan kunci.
Pengidentifikasi transaksi Coinbase dari blok 924.982 berfungsi sebagai kunci pribadi untuk dompet, menciptakan kerentanan keamanan yang memicu aktivitas bot otomatis, menurut publikasi mata uang kripto Protos.
Insiden tersebut mendorong program komputer otomatis yang terhubung ke kumpulan memori Bitcoin, atau mempool, dari transaksi yang tertunda untuk memperebutkan dana. Bot-bot ini secara otomatis mendeteksi deposit ke dompet yang disusupi dan menyiarkan transaksi replace-by-fee untuk menawar lebih tinggi dari biaya program pesaing kepada penambang untuk transaksi penarikan.
Dalam kasus yang dilaporkan, 0,84 BTC dikirim dan hilang ke alamat dengan kunci pribadi non-acak yang berasal dari pengidentifikasi coinbase blok, menurut data blockchain.
Sistem otomatis menggunakan mekanisme replace-by-fee untuk meningkatkan biaya transaksi secara bertahap dalam persaingan dengan bot lain. Dalam beberapa kasus, transaksi turunan membayar hingga 99,9% dari nilai transaksi dalam biaya, menurut pengamat yang memantau aktivitas tersebut.
Kunci pribadi mewakili elemen keamanan paling kritis untuk melindungi kepemilikan bitcoin. Ketika kunci pribadi terekspos atau berasal dari pola data umum, pencurian biasanya terjadi segera, menurut para ahli keamanan mata uang kripto.
Banyak dompet yang disusupi dengan kunci pribadi non-acak menggunakan frasa benih dengan pola yang dapat diprediksi, termasuk kata-kata berulang seperti "password," "bitcoin," atau "abandon," menurut peneliti keamanan. Setiap pola non-acak yang tidak memiliki entropi sejati dapat mengekspos kunci pribadi dan memungkinkan sistem otomatis untuk menguras deposit ke kunci publik yang sesuai.
Insiden ini menunjukkan bahwa non-keacakan dapat meluas melampaui pola kata sederhana untuk mencakup informasi publik yang tercatat di buku besar Bitcoin, seperti pengidentifikasi transaksi dari hadiah blok. Kegagalan untuk memperkenalkan entropi mekanis saat menghasilkan kunci pribadi dapat memungkinkan serangan brute-force dan membahayakan keamanan dana, menurut para ahli kriptografi.
Hashing kunci pribadi melalui pengidentifikasi transaksi tidak memberikan entropi yang cukup untuk penyimpanan kunci pribadi yang aman, insiden ini menggambarkan. Penambang dan pengamat mempool lainnya dapat memantau pengidentifikasi transaksi untuk non-keacakan dan mencoba menyiarkan transaksi pencurian menggunakan kunci pribadi yang terekspos, menurut analis keamanan blockchain.
Sumber: https://crypto.news/bitcoin-bots-compete-funds-wallet-block-identifier/
