Hacker Berusia 15 Tahun ini Bobol Wallet Bitfi yang Sebelumnya Diklaim “Tidak Bisa Diretas”

Hacker Berusia 15 Tahun ini Bobol Wallet Bitfi yang Sebelumnya Diklaim “Tidak Bisa Diretas” – Sebulan yang lalu, McAfee menaikkan bounty “unhackable” wallet dari $ 100.000 ke $ 250.000. Bounty tersebut, banyak kalangan peneliti keamanan menganggapnya sebagai penupuan, menyebutkan bahwa peretasan hanya dihitung valid jika seseorang mengeluarkan koin dari wallet saja. Bitfi menolak membayar peneliti yang meretas perangkat, mengklaim bahwa serangan itu tidak memenuhi kondisi (out of scope). Tidak mengherankan bahwa Bitfit “memenangkan” PwnieAward untuk “Lamest Vendor Response”, penghargaan tradisional yang diberikan dari konferensi Black Hat untuk perusahaan yang bereaksi paling buruk dalam menanggapi masalah keamanan.

 

Ini sebenarnya kali kedua Bitfi diretas. Meskipun peneliti keamanan seperti Andrew Tierney terus mencari cara untuk meretas Bitfi, dan Bitfi terus mencari cara untuk menolak pembayaran hadiah yang dijanjikan, peretasan terbaru Bitfi, cold boot attack, dilakukan oleh peretas berusia 15 tahun Saleem Rashid yang sebelumnya mengubah Bitfi menjadi konsol game Doom. Rashid adalah bagian dari tim peneliti keamanan berinisial “THCMKACGASSCO” bersama Ryan Castellucci.

Dalam video yang diunggah tersebut, Rashid menampilkan pengaturan frase rahasia dan salt, dan menjalankan local exploit untuk mengekstrak kunci dari device.

 

Rashid mengatakan bahwa kunci disimpan dalam memori lebih lama daripada klaim Bitfi, memungkinkan gabungan eksploit mereka untuk menjalankan kode pada perangkat keras tanpa menghapus memori. Dari sana, penyerang dapat mengekstrak memori dan menemukan kunci. Eksploitasi membutuhkan waktu kurang dari dua menit untuk dijalankan.

“Serangan ini dapat diandalkan dan praktis, tidak memerlukan perangkat keras khusus,” kata Andrew Tierney, seorang peneliti keamanan dari Pen Test Partners, yang memverifikasi serangan itu.

Tierney adalah salah satu peretas di balik serangan Bitfi pertama. Perusahaan yang didukung McAfee menawarkan hadiah $ 250.000 bagi siapa saja yang dapat melakukan apa yang dianggap pembuatnya sebagai “serangan yang sukses.” Namun, Bitfi menolak membayar, dengan alasan bahwa peretasan tidak memenuhi kondisi, dan alih-alih terpaksa memposting ancaman di Twitter.

Setelah Bitfi telah dipalu dan dieksploitasi berkali-kali, Bitfi akhirnya mundur dari klaim “unhackable” tak lama setelah Rashid memposting bukti video hack di Twitter.

Bitfi mengeluarkan pernyataan bahwa mereka menghapus klaim “unhackable” dari brandingnya karena “menyebabkan sejumlah besar kontroversi”.

Selain itu, Bitfi menutup “program bug bounty yang menimbulkan konflik diantara para penguji keamanan”. Lebih lanjut mereka mengklaim bahwa “program bug bounty” akan diluncurkan melalui Hacker One.

Namun, CEO Hacker One  Marten Mickos mengatakan Bitfi belum memulai komunikasi tentang peluncuran program bug bounty tersebut.

LEAVE A REPLY

Please enter your comment!
Please enter your name here