Dilansir dari TechnologyReview, awal bulan lalu tim keamanan Coinbase memperhatikan sesuatu yang aneh terjadi pada Ethereum Classic, salah satu mata uang kripto yang dapat dibeli ataupun dijual oleh seseorang menggunakan platform bursa populer Coinbase. Blockchain milik Coinbase, rekaman atau catatan semua transaksi, telah diserang.

Seorang penyerang mendapatkan kendali lebih dari setengah daya jaringan komputer dan memanfaatkannya untuk menulis ulang rekaman transaksi. Ini biasa disebut 51% attack (serangan 51%). Hal ini memungkinkan untuk menggunakan mata uang kripto yang sama lebih dari satu kali, yang dikenal sebagai “double spends”. Penyerang menarik uang hingga US$ 1,1 juta.

Coinbase mengeklaim bahwa tidak ada mata uang yang benar-benar dicuri dari saldo manapun. Akan tetapi, bursa popular kedua, Gate.io, mengaku tidak begitu beruntung, karena kehilangan sekitar US$ 200.000 karena serangan. Anehnya beberapa hari kemudian setengah dari uang tersebut dikembalikan.

Setahun yang lalu, skenario mimpi buruk ini sebagian besar teoritis. Akan tetapi, serangan 51% terhadap Ethereum Classic itu merupakan hal terakhir dari rangkaian serangan baru-baru ini terhadap blockchain yang telah meningkatkan taruhan di industri kripto.

Kerentanan terhadap serangan 51% melekat pada sebagian besar mata uang kripto. Hal itu karena sebagian besar didasarkan pada blockchain yang menggunakan proof of work sebagai protokol mereka untuk memverifikasi transaksi. Dalam proses ini, yang dikenal sebagai penambangan (mining), node menghabiskan sejumlah besar daya komputasi untuk membuktikan diri cukup dapat dipercaya untuk menambahkan informasi tentang transaksi baru ke database. Seorang penambang yang entah bagaimana mendapatkan kendali atas sebagian besar kekuatan pertambangan jaringan dapat menipu pengguna lain dengan mengirimkan pembayaran kepada mereka dan kemudian menciptakan versi alternatif dari blockchain yang pembayarannya tidak pernah terjadi. Versi baru ini disebut cabang (fork). Penyerang, yang mengendalikan sebagian besar kekuatan penambangan, dapat menjadikan cabang versi otoritatif dari chain (rantai) dan melanjutkan untuk menghabiskan mata uang kripto yang sama lagi.

Untuk blockchain populer, melakukan serangan ini akan membutuhkan biaya yang sangat mahal. Dilansir dari website crypto51.com, menyewa kekuatan penambang untuk menyerang Bitcoin akan membutuhkan biaya lebih dari US$ 260.000 per jam. Akan tetapi, akan lebih murah jika pindah ke lebih dari 1.500 mata uang kripto di luar sana. Harga koin yang murah akan membutuhkan biaya yang lebih murah, karena membuat penambang mematikan mesin mereka, meninggalkan jaringan dengan perlindungan yang lebih sedikit.

Menjelang pertengahan 2018, penyerang mulai melancarkan serangan 51% pada serangkaian koin yang relatif kecil, yang diperdagangkan ringan termasuk Verge, Monacoin, dan Bitcoin Gold. Penyerang mencuri sekitar US$ 20 juta. Pada musim gugur, peretas mencuri sekitar US$ 100.000 menggunakan serangkaian serangan terhadap mata uang yang disebut Vertcoin. Pukulan terhadap Ethereum Classic, yang terserang lebih dari US$ 1 juta, adalah yang pertama terhadap mata uang 20 teratas.

David Vorick, pendiri platform penyimpanan berbasis blockchain, Sia, memprediksi serangan 51% akan terus tumbuh cepat dan kejam, dan para bursa akan menanggung beban kerusakan yang disebabkan oleh double-spends. Satu hal yang mendorong tren ini, menurutnya, adalah munculnya apa yang disebut pasar hashrate, yang dapat digunakan penyerang untuk menyewa daya komputasi untuk serangan.

“Bursa pada akhirnya akan perlu jauh lebih ketat ketika memilih cryptocurrency mana yang akan didukung,” tulis Vorick setelah peretasan Ethereum Classic.

Selain serangan 51%, ada tingkat baru dari kelemahan keamanan blockchain yang implikasinya mulai ditelusuri oleh para peneliti, yaitu bug kontrak pintar (smart contract). Bug dalam kontrak pintar langsung dapat membuat jenis darurat yang unik. Dalam perangkat lunak tradisional, bug dapat diperbaiki dengan tambalan, namun di dunia blockchain, bug tidak sesederhana itu karena transaksi pada blockchain tidak dapat diurungkan.

Ada teknik perbaikan yang dapat dilakukan. Meskipun tidak dapat ditambal. Beberapa kontrak dapat “ditingkatkan” dengan menggunakan kontrak pintar tambahan untuk berinteraksi. Pengembang juga dapat membuat switch pembunuh terpusat ke dalam jaringan untuk menghentikan semua aktivitas setelah peretasan terdeteksi.

AnChain.ai, salah satu dari beberapa startup baru yang dibuat untuk mengatasi ancaman peretasan blockchain. AnChain menggunakan kecerdasan buatan untuk memantau transaksi dan mendeteksi aktivitas yang mencurigakan, dan dapat memindai kode kontrak pintar untuk mengetahui kerentanannya.

Perusahaan lain, ChainSecurity, sedang mengembangkan layanan audit berdasarkan teknik ilmu komputer yang mapan yang disebut sebagai verifikasi formal. Tujuannya adalah untuk membuktikan secara matematis bahwa kode kontrak akan benar-benar melakukan apa yang dimaksudkan oleh pembuatnya. Alat audit ini, yang telah mulai muncul sekitar setahun terakhir ini, telah memungkinkan para pembuat kontrak pintar untuk menghilangkan banyak bug. Akan tetapi prosesnya bisa mahal dan memakan waktu.

Teknologi blockchain telah lama disebut-sebut memiliki tingkat keamanan yang baik, namun dalam kondisi tertentu blockchain bisa sangat rentan. Eksekusi yang buruk, atau bug pada perangkat lunak yang tidak disengaja, dapat disalahgunakan.

Seorang pakar Blockchain memberikan tanggapan terhadap tulisan di atas, “Judul tulisan ini agak menyesatkan. Serangan 51% tidak selalu berupa peretasan. Ini merupakan pengambilalihan jaringan dan secara realistis hanya dapat dicapai untuk koin kecil atau dengan biaya sangat besar yang pada dasarnya akan mendevaluasi koin dari keberadaannya dan karenanya menjadikannya tidak ada gunanya secara finansial bagi peretas.”

Ditambah lagi, rantai (the chain) selalu dapat dibuat cabangnya (fork) dan meninggalkan versi yang diretas. Demikian pula bug terbaru pada ZCash dan inti Bitcoin telah diperbaiki sebelum dieksploitasi. Jadi sekali lagi, kasus ini bukan peretasan.

Contoh kasus bug kontrak pintar juga bukan peretasan. Mereka adalah orang yang menggunakan kontrak, bukan seperti yang dimaksudkan semula, tetapi karena itu dirancang. Itu bukan peretasan tetapi desain awal dan pengujian yang buruk.

Sumber: Technologyreview

LEAVE A REPLY

Please enter your comment!
Please enter your name here