- Salah satu Pendiri Ethereum, Vitalik Buterin, telah menyoroti kelemahan penggunaan dompet perangkat keras untuk mengamankan kripto dalam advokasinya untuk Multisignature.
- Menurutnya, 90% dari dananya diamankan menggunakan Multisignature, sebuah pendekatan canggih yang mengharuskan transaksi divalidasi oleh lebih dari satu tanda tangan.
Keamanan kripto menjadi pusat perhatian karena salah satu Pendiri Ethereum, Vitalik Buterin, memberikan presentasi yang mendalam tentang pendekatan yang paling efektif untuk mengamankan aset digital selain kerentanan yang ada di dompet yang paling umum.
Komentarnya muncul setelah seorang pengguna X, @ptrwtts, menunjukkan beberapa kelemahan dompet perangkat keras yang membatalkan status keamanannya.
Poin tandingan: ketika menggunakan dompet perangkat keras, risiko terbesar adalah diri Anda sendiri. Berhati-hatilah dengan pistol: Seseorang menemukan benih yang Anda sembunyikan, Anda menyembunyikan benih tersebut dengan sangat baik sehingga Anda lupa, Anda menaruh benih tersebut di brankas bank lalu buru-buru pindah ke luar negeri karena covid.
Menurut Buterin, risiko terjebak dalam salah satu kesalahan manusia yang jelas ini menggarisbawahi keputusannya untuk menggunakan tanda tangan ganda untuk mengamankan 90% dananya.
The above is why I use a multisig (@safe) for >90% of my personal funds 🙂
M-of-N, some keys held by you (but not enough to block recovery), the rest held by other people you trust. Don't reveal who those other people are, even to each other.
Decentralize your own security.
— vitalik.eth (@VitalikButerin) May 1, 2024
Sebagai gambaran singkat, multi-tanda tangan adalah sebuah pendekatan canggih yang mengharuskan sebuah transaksi memiliki dua atau lebih tanda tangan untuk dieksekusi.
Dengan kata lain, tanda tangan diasosiasikan dengan kunci privat kriptografi yang berbeda dengan ambang batas kunci yang ditentukan untuk menandatangani sebuah transaksi untuk memvalidasinya. Multisignature tidak bergantung pada satu titik kegagalan, akan tetapi bergantung pada kepercayaan dan keandalan dari mereka yang memegang kunci lainnya.
Lebih lanjut tentang Multisignature
Setiap pihak yang memiliki dompet multi tanda tangan dapat memulai sebuah transaksi tetapi akan tetap tertunda sampai pihak lain menandatanganinya. Dompet ini juga dapat mengimplementasikan pengaturan N-of-N di mana transaksi menjadi valid setelah divalidasi oleh para penandatangan. Mungkin juga memiliki pengaturan N-of-M di mana sebagian penandatangan tertentu menyetujui sebuah transaksi.
Akan tetapi, pendekatan pengamanan kripto ini tidak jauh dari jangkauan para pelaku ancaman. Dapat diingat bahwa Horizon Bridge kehilangan US$100 juta karena peretas pada tahun 2022 ketika 2 dari 5 skema multi-signature-nya disusupi.
Inilah yang dikatakan oleh Kepala petugas keamanan informasi Polygon, Mudit Gupta:
Peretas membobol 2 alamat dan menguras uangnya. Kedua alamat tersebut kemungkinan besar adalah hot wallet yang digunakan untuk mendengarkan dan memproses transaksi bridging yang sah… Penyerang membobol server tempat hot wallet ini berjalan. Setelah berada di dalam server, mereka dapat mengakses kunci yang disimpan dalam bentuk plaintext untuk menandatangani transaksi yang sah. Eksploitasi server kemungkinan besar merupakan kompromi kunci SSH atau rekayasa sosial. Hal ini sangat mirip dengan bagaimana Ronin diretas.
Manfaat dari diskusi ini disorot dalam Laporan Kejahatan Kripto Chainalysis yang memperkirakan bahwa US$3,7 miluar dicuri dari pencurian kripto pada tahun 2022. Pada tahun 2023, angka ini menurun lebih dari 50% menjadi US$1,7 milyar.
Namun, jumlah insiden peretasan individu meningkat dari 219 pada tahun 2022 menjadi 231 pada tahun 2023. Laporan lain dari PeckShield memperkirakan bahwa nilai kripto yang disusupi oleh peretasan mencapai US$187,6 juta pada Maret 2024.