Peretasan Gunung Gox
Bagaimana jutaan dolar bisa hilang tanpa jejak? Ini adalah pertanyaan yang dihadapi Mt. Gox, bursa Bitcoin terbesar di dunia, pada awal tahun 2014.
Pada tanggal 7 Februari, bursa tiba-tiba berhenti berdagang, mengatakan telah menemukan bug “kelenturan transaksi” dan mengunci pelanggan dari akun mereka. Organisasi tersebut kemudian menyalahkan peretas karena mencuri Bitcoin senilai $460 juta selama tiga hingga empat tahun, sehingga menyebabkan jatuhnya nilai mata uang kripto.
Peretasan, Didistribusikan telah membuat ikhtisar yang baik mengenai semua penjelasan yang diberikan atas apa yang terjadi pada tahun 2014 – yang pada akhirnya mungkin merupakan penipuan atau kelalaian, menurut dua tuntutan hukum.
Sementara krisis ini berujung pada akhirnya kebangkrutan Mt. Gox, ada peretasan sebelumnya yang meramalkan apa yang akan terjadi pada tahun 2014.
Pada 13 Juni 2011, 478 akun Mt. Gox dirampok dengan total 25.000 bitcoin (bernilai antara $375.000 dan $500.000 pada saat itu), yang semuanya ditransfer ke satu akun.
Gunung Gox sebagian besar menyalahkan para korban atas pencurian tersebut, karena pelaku tampaknya menggunakan kata sandi akun yang valid untuk mendapatkan akses dan melakukan transaksi.
“Sebagai pengingat, kami tidak bertanggung jawab jika dana Anda dicuri oleh seseorang yang menggunakan kata sandi Anda sendiri,” kata CEO Mt. Gox Mark Karpeles, menggunakan alias MagicalTux.
Namun, pencurian 25.000 bitcoin hanyalah permulaan. Menjelang akhir minggu yang sama, menjadi jelas alasan 478 akun tersebut disusupi menggunakan kata sandi mereka sendiri. adalah karena seorang peretas berhasil mengakses database Mt. Gox dan mencuri nama pengguna dan kata sandi 60.000+ pelanggan.
Karpeles awalnya tampak cukup santai mengenai klaim bahwa seluruh database Mt. Gox telah disusupi, dengan mengatakan: “Kata sandi dienkripsi satu cara (+salt). Seseorang tidak dapat menjual 'user + pass' kecuali dia memiliki cara untuk mengembalikannya.”
Namun, pada tanggal 20 Juni, dia mengambil tindakan yang lebih serius, ketika penjualan Bitcoin dalam jumlah besar dari salah satu akun yang disusupi menyebabkan nilai mata uang kripto tersebut anjlok hingga mendekati nol.
Di dalam pengumuman resmi di situs Mt. Gox, Karpeles menjelaskan bahwa akun admin telah disusupi dan penyerang yang bertanggung jawab telah menggunakan izin terkait untuk “secara sewenang-wenang menugaskan dirinya sendiri sejumlah besar bitcoin, yang kemudian dia jual di bursa”.
Dengan melakukan hal ini, peretas membanjiri Mt. Gox dengan lebih banyak bitcoin daripada yang sebenarnya ada di dompet bursa, sehingga membawa nilai cryptocurrency turun dari $17,50/btc menjadi $0,01/btc, sementara juga mengurangi akun lain sebesar 2,000 bitcoin.
Dalam pernyataan yang sama, Karpeles juga mengonfirmasi hilangnya database Mt. Gox, dengan menyatakan kemungkinan besar penyebabnya peretas memperoleh akses ke akun admin yang menyebabkan kerusakan dan akun yang dirampok 2.000 bitcoin.
Kerusakan tersebut dapat diatasi dengan menutup bursa dan membatalkan transaksi yang terjadi selama serangan tersebut, sementara 2.000 bitcoin yang hilang dikembalikan atas biaya Mt. Gox sendiri.
Apa yang membuat serangan itu mungkin terjadi dan berhasil, bukan hanya kerentanan injeksi SQL dalam kode Mt. Gox yang memberi peretas akses ke basis data pengguna, atau fakta bahwa nama pengguna dan alamat email disimpan dalam teks biasa, atau menggunakan algoritma hashing MD5 daripada alternatif SHA-2 yang lebih aman, atau bahkan sekitar 1.600 kata sandi telah di-hash tetapi tanpa garam. Itu adalah ciri keangkuhan dan kenaifan khas Karpeles. Kegagalan untuk menanggapi dengan serius keluhan dari 478 pelanggan asli yang akunnya telah disusupi – atau bahkan menganggapnya agak aneh bahwa hampir 500 orang diretas pada hari yang sama – adalah hal yang serius kesalahan; menindaklanjutinya dengan tampaknya tidak peduli bahwa seseorang telah mencuri seluruh basis data pengguna adalah hal yang menakjubkan.
Mengingat apa yang terjadi pada tahun 2011, kegagalan total Mt. Gox pada tahun 2014 mungkin tidak dapat dihindari.
Lanjutkan membaca untuk peretasan nomor lima: LulzSec mengungkap kurangnya keamanan Sony
