Sebagai industri cryptocurrency terus berkembang dan menjadi target yang semakin menarik bagi peretas, Pentagon telah menugaskan sebuah penelitian yang telah menemukan beberapa kerentanan terkait, yang dirinci dalam laporan yang menyertainya.
Memang, laporan yang diterbitkan pada 21 Juni dan berjudul “Apakah Blockchain Terdesentralisasi? Sentralitas yang Tidak Diinginkan dalam Buku Besar Terdistribusi," telah menemukan bahwa "sebagian peserta dapat mengumpulkan kontrol terpusat yang berlebihan atas seluruh sistem."
Studi, yang berfokus pada Bitcoin (BTC) dan Ethereum (ETH), dilakukan oleh firma riset keamanan Trail of Bits di bawah arahan Defense Advanced Research Projects Agency (DARPA) Pentagon.
Menurut laporan tersebut:
“Jumlah entitas yang cukup untuk mengganggu blockchain relatif rendah: empat untuk Bitcoin, dua untuk Ethereum, dan kurang dari selusin untuk sebagian besar jaringan PoS.”
60% lalu lintas Bitcoin hanya melalui 3 ISP
Selain itu, laporan tersebut mengatakan bahwa “dari semua lalu lintas Bitcoin, 60% hanya melintasi tiga ISP,” mengacu pada penyedia layanan internet. Selain itu, “sebagian besar node Bitcoin tampaknya tidak berpartisipasi dalam penambangan dan operator node tidak menghadapi hukuman eksplisit untuk ketidakjujuran.”
Seperti yang diperingatkan oleh para analis, “menyebarkan node baru hanya membutuhkan satu instance server cloud yang murah – tidak diperlukan perangkat keras penambangan khusus.” Ini memungkinkan kemungkinan membanjiri jaringan konsensus blockchain dengan node baru yang berbahaya yang dikendalikan oleh satu pihak dalam apa yang disebut serangan Sybil.
Masalah lebih lanjut termasuk protokol dan perangkat lunak yang kedaluwarsa dan tidak terenkripsi, yang semuanya membuat jaringan terkena serangan. Seperti yang dijelaskan dalam laporan:
“Keamanan blockchain bergantung pada keamanan perangkat lunak dan protokol tata kelola off-chain atau mekanisme konsensus.”
Kolam penambangan yang ceroboh
Laporan tersebut juga menemukan bahwa semua kumpulan penambangan yang diuji oleh analisnya “baik menetapkan kata sandi yang dikodekan untuk semua akun atau hanya tidak memvalidasi kata sandi yang diberikan selama otentikasi.”
Sebagai contoh, laporan tersebut menggunakan praktik kumpulan penambangan cryptocurrency global ViaBTC yang tampaknya menetapkan kata sandi '123' ke semua akunnya. Perusahaan pertambangan lain, Poolin, "tampaknya tidak memvalidasi kredensial otentikasi sama sekali," sedangkan Slushpool "secara eksplisit menginstruksikan penggunanya untuk mengabaikan bidang kata sandi."
Menurut data yang tersedia, ketiga kumpulan penambangan ini menyumbang sekitar 25% dari hashrate Bitcoin.
Keamanan cyber peneliti sering memperingatkan potensi kelemahan terkait kripto yang dapat menyebabkan insiden seperti yang finbold dilaporkan pada pertengahan April, di mana penyerang berhasil mencuri seluruh koleksi seseorang kripto dan token yang tidak dapat dipertukarkan (NFT) senilai lebih dari $650,000 dari MetaMask . mereka dompet crypto.
Sumber: https://finbold.com/pentagon-paper-warns-of-major-vulnerabilities-in-the-bitcoin-blockchain/