Anak Remaja Meretas Dompet Mata Uang Kripto
 |
| Anak Remaja Meretas Dompet Mata Uang Kripto |
Menulis di blognya, Saleem Rashid mengatakan dia telah menulis kode yang memberinya pintu belakang ke Ledger Nano S, perangkat $ 100 (£ 70) yang telah menjual jutaan orang di seluruh dunia.
Ini akan memungkinkan penyerang jahat untuk menguras dompet dana, katanya.
Perusahaan di balik dompet mengatakan bahwa mereka telah mengeluarkan perbaikan keamanan.
Dipercaya, cacat itu juga mempengaruhi model lain - Nano Blue - dan perbaikan untuk itu tidak akan tersedia "selama beberapa minggu", kata kepala petugas keamanan perusahaan, Charles Guillemet kepada majalah Quartz.
Kripto-mata uang seperti Bitcoin menggunakan metode enkripsi yang dikenal sebagai kriptografi kunci publik untuk melindungi dana. Pengguna dapat membelanjakan uang yang disimpan hanya jika mereka memiliki akses ke kunci privat.
'Tidak ada hadiah'
Dompet perangkat keras menyimpan kunci pribadi ini dan dapat dihubungkan ke PC melalui port USB.
Serangan tersebut menargetkan pengendali mikro perangkat, salah satunya menyimpan kunci privat, sementara yang lain bertindak sebagai proksi untuk mendukung fungsi tampilan dan antarmuka USB.
Yang terakhir kurang aman dan tidak dapat membedakan antara firmware asli - perangkat lunak yang diprogram ke dalam perangkat - dan kode yang ditulis oleh orang luar.
Satu peringatan besar untuk metode yang ditemukan oleh remaja adalah bahwa penyerang akan membutuhkan akses fisik ke dompet sebelum masuk ke tangan korban - jadi, misalnya, dengan membeli satu, mengubahnya dan kemudian menjualnya di eBay atau situs online serupa.
Dalam blognya, Rashid mengatakan bahwa dia telah mengirim kode yang dia kembangkan ke Ledger "beberapa bulan yang lalu", menambahkan bahwa dia belum dibayar karunia.
Dia mengatakan bahwa dia memilih untuk mempublikasikan setelah kepala eksekutif Ledger Eric Larcheveque membuat komentar pada Reddit yang, menurut remaja, "penuh dengan ketidaktelitian teknis".
Bahaya 'berlebihan'
"Sebagai akibatnya, saya menjadi khawatir bahwa kerentanan ini tidak akan dijelaskan dengan baik kepada pelanggan," tulisnya.
Dalam komentar Reddit, Mr Larcheveque mengatakan bahwa masalah keamanan telah "sangat dibesar-besarkan".
"Sementara mungkin, ini bukti konsep peringkat tidak berarti sebagai tingkat keparahan kritis dan tidak pernah ditunjukkan," tulisnya.
Dia menuduh remaja itu menjadi "tampak marah" ketika perusahaan tidak berbagi perbaikan sebagai "pembaruan keamanan kritis" dan mengatakan keputusannya untuk go public telah "menimbulkan banyak kepanikan".
Craig Young, seorang peneliti di perusahaan keamanan Tripwire berkomentar: "Sangat sulit untuk benar-benar mengamankan perangkat apa pun dari penyerang dengan akses fisik. Inilah sebabnya mengapa sangat penting untuk memiliki pembuat komponen, pedagang, dan fasilitas perbaikan yang tepercaya.
"Dalam kasus khusus ini, ditemukan bahwa siapa pun dengan akses fisik dapat memodifikasi dompet perangkat keras Ledger untuk mendapatkan akses ke dana. Akibatnya, ini berarti bahwa seseorang yang menjual dompet perangkat keras ini akan dapat mencuri dana dari pelanggan mereka.
"Untungnya untuk pemilik Ledger, masalah itu dilaporkan secara bertanggung jawab kepada vendor dan pengungkapan terkoordinasi meminimalkan risiko bagi pengguna akhir."
Beberapa minggu yang lalu, Ledger menegaskan bahwa cacat yang terpisah membuat dompetnya rentan terhadap serangan lain di mana malware dapat mengelabui pengguna tanpa sadar mengirim mata uang kripto mereka ke peretas.
Comments
Post a Comment