Kelemahan Meltdown and Spectter Mean untuk Crypto

Baru-baru ini bocor kelemahan komputer Meltdown dan momok menawarkan pengingat lain betapa sulitnya era digital membuatnya menyimpan informasi pribadi – bahkan tombol rahasia kripto kunci – aman.

Unveiled Rabu, kerentanan perangkat keras yang meluas secara bersamaan mempengaruhi chip komputer Intel, ARM dan AMD, yang menguasai sebagian besar komputer, perangkat seluler dan server dunia, sehingga memungkinkan untuk mencuri data pribadi seperti kata sandi, informasi keuangan atau hampir semua hal yang tersimpan. pada perangkat yang menggunakan salah satu chip ini.

Dimana hal ini penting untuk kripto pada khususnya, para hacker berpotensi menggunakan vektor serangan spesifik untuk mencubit kunci pribadi yang memungkinkan pengguna mengendalikan bitcoin mereka di blockchain.

Mekanika Populer menyebutnya bug “mengerikan”, berpendapat bahwa “sulit untuk menemukan bagian yang paling bermasalah dari kekurangan ini,” sementara sebuah  halaman informasi yangditulis oleh periset keamanan mengatakan bahwa Anda “paling pasti” terkena dampak oleh bug tersebut.

Dan meskipun tidak ada bukti bahwa setiap kata kunci telah disusupi, para ahli mengatakan tidak mengherankan jika peretas atau NSA telah mengeksploitasi serangan tersebut.

Jika Anda sudah mengikuti praktik terbaik untuk penyimpanan kriptocurrency, mungkin Anda baik-baik saja. Tapi jika tidak, atau jika Anda pengguna yang lebih baru, para ahli mengatakan penting untuk menyimpan kunci pribadi pada perangkat yang aman.

“Lebih baik aman daripada menyesal,” kata pengembang Bitcoin Core Bryan Bishop kepada CoinDesk, menambahkan:

“Penyerang yang memiliki pengetahuan tentang kerentanan yang cukup kuat secara teoritis dapat memaksa CPU Anda untuk mengungkapkan data rahasia seperti kunci pribadi yang digunakan untuk mengendalikan bitcoin Anda.”

Vektor serangan

Penting untuk dicatat bahwa saran untuk menyimpan kunci pribadi pada perangkat yang aman bukanlah hal baru. (Pengembang Crypto telah lama memperingatkan agar tidak menyimpan kunci pribadi di laptop atau perangkat lain yang berinteraksi dengan internet.)

Tapi alasan mengapa mungkin tidak jelas bagi pengguna yang lebih baru. Meskipun bitcoin dan cryptocurrencies lainnya adalah protokol yang aman, mereka harus berinteraksi dengan internet terbuka dan komputer biasa. Singkatnya, menyimpan kunci pribadi begitu dekat dengan internet berpotensi mengekspos pengguna ke hacks dan pencurian.

Dan kerentanan CPU yang baru membuat situasi semakin buruk, karena serangkaian tindakan dapat menyebabkan kesalahan dan kompromi.

“Jika masalah memori yang dilindungi itu nyata, plugin browser atau bahkan situs web bisa mengakses kunci pribadi Anda,” kata kontributor Bitcoin Core Jonas Schnelli.

Rincian lengkap dari masalah ini belum umum, jadi tidak jelas apa vektor serangan yang tepat. Namun, yang lain menyarankan dampak serupa bisa terjadi.

“Untuk terkena serangan ini, yang harus Anda lakukan hanyalah mengklik link secara tidak sengaja dan mungkin Anda sampai di sebuah situs web yang menyajikan iklan jahat dengan kode malware yang mencuri data Anda,” tambah Bishop.

Dan sementara skenario ini mungkin terdengar tidak masuk akal, kebanyakan malware saat ini memangsa kerentanan serupa yang belum ditambal. Tidak mungkin mengetahui siapa dan kapan mereka benar-benar akan memukul.

Perbaikan sistem operasi sekarang tersedia yang harus digunakan pengguna untuk menambal perangkat Windows, Mac, dan Linux mereka. Tapi, bagi pengguna kripto-kardiak, pilihan yang lebih baik adalah tidak menyimpan kunci pribadi pada perangkat yang tersambung ke internet sama sekali, sebuah rekomendasi umum jauh sebelum kerentanan khusus ini.

Salah satu pilihannya adalah menyimpan kunci pribadi pada apa yang disebut “dompet perangkat keras”, seperti Ledger atau Trezor. Perangkat kecil mungkin tidak semudah digunakan, tapi lebih aman karena tidak terhubung ke internet.

Pavol Rusnak, CTO SatoshiLabs, perusahaan di belakang Trezor, melangkah sejauh mengatakan”Menggunakan dompet [perangkat keras] sekarang lebih penting daripada sebelumnya!” Sementara pengembang ethereum Lefteris Karapetsas menyindir , “Saya yakin Specter dan Meltdown adalah hal terbaik yang bisa terjadi untuk bisnis dompet dingin kriptocurrency.”

Pertukaran harta karun troves

Di luar perangkat konsumen solo, sasaran yang jauh lebih besar dan lebih mengkhawatirkan adalah pertukaran kriptografi dan bisnis, yang menyimpan kunci rahasia kripto kunci bagi jutaan pengguna sekaligus.

Beberapa pertukaran kriptocurrency menggunakan layanan hosting awan seperti Amazon Web Services dan Google Cloud untuk menjalankan situs web mereka, daripada memutar server mereka sendiri.

Sementara platform ini membuat situs web lebih mudah dikelola, mereka sangat rentan terhadap serangan ini. Seorang hacker secara teoritis dapat memutar server menggunakan perangkat keras yang sama seperti startup kripto yang menjalankan operasinya di platform awan dan tiba-tiba memiliki akses ke semua data mereka.

Di dunia kripto, seorang hacker bisa secara hipotetis menggunakan vektor serangan ini untuk mencuri kunci pribadi.

Di satu sisi, banyak platform awan yang paling populer dengan cepat membuka gulungan. Di sisi lain, para periset khawatir bahwa kerentanan yang mengakar dapat menelurkan varian yang tidak diperbaiki, dengan kemungkinan efek yang akan datang.