Ilmuwan komputer Massachusetts Institute of Technology (MIT), Profesor Stuart Madnick mengatakan, teknologi blockchain belum sepenuhnya aman, sebagaimana yang diklaim para pendukungnya. Hal tersebut disampaikan Madnic di Wall Street Journal belum lama ini, seperti yang dilansir oleh Cointelegraph, Kamis, 6 Juni 2019.
Pernyataan itu didasarkan pada hasil penelitian terhadap sejumlah peretasan sistem blockchain yang terjadi antara tahun 2011-2018 dengan sejumlah aspek, yakni transparansi, kendali terdistribusi, anonimitas dan keunggulan teknik.
“Walaupun blockchain disebut berkarakter transparan, di mana partisipan dapat berperan di dalam sistem, tetapi ada sejumlah pihak yang berniat buruk bisa meretasnya. Dalam konteks khusus, sifat blockchain yang kendalinya terdistribusi, tidak memungkinkan memadamkan sistem secara keseluruhan jikalau terjadi gangguan. Bursa efek misalnya, karena ada entitas sentral yang mengendalikannya, maka ketika ada gangguan dapat dengan mudah ditanggulangi dengan memadamkan sistem sebagian atau keseluruhan. Dengan sistem blockchain, ketika ada serangan fatal dari luar, maka mustahil sistem dipadamkan,” katanya.
Secara singkat, Madnick mengatakan blockchain memang menjanjikan secara keamanan dan teknik enkripsi. Namun, ia tetap rentan, serupa dengan teknologi-teknologi lainnya. Peran manusia yang beritikad buruk berdampak besar pada keamanan blockchain.
Human Error
Dugaan human error juga menghinggapi kasus peretasan terhadap bursa kripto Binance belum lama ini. Sekitar 7 ribu Bitcoin (BTC) atau setara dengan Rp587 miliar raib dari hot wallet di bursa kripto Binance, setelah diretas pada 7 Mei 2019 pukul 17:15:24 (UTC).
Pihak Binance menyebutkan, peretas menggunakan sejumlah teknik peretasan, termasuk phising, menanamkan virus dan jenis serangan lainnya. Peretas mampu mencuri sejumlah besar data kunci API para pengguna, kode 2FA dan sejumlah data lainnya yang belum terungkap.
Sejumlah pihak menduga virus atau sejenis malware bisa saja dikirim oleh peretas melalui e-mail ke Binance dan lalai dikenali oleh karyawan di Binance. CEO Binance, Changpeng Zhao (CZ) pun mengakui bahwa peretasan itu dilakukan secara rapi dan penuh kesabaran. Namun, sejumlah pihak pun menduga ada keterlibatan “orang dalam” Binance sendiri.
Kelemahan EOS
Pada 26 Februari 2019 lalu, di sejumlah media blockchain tersiar kabar soal raibnya 2,09 juta EOS (sekitar US$7,7 juta) dari satu akun blockchain EOS. Dilakukan melalui “peretasan”, penyebab utamanya adalah kelalaian seorang Block Producer (BP) yang tidak memperbarui isi daftar hitam (blacklist) akun-akun terlarang di EOS. Dari kabar terbaru terungkap, ternyata ini sekaligus mempertontonkan sejumlah kelemahan sistem EOS, yang menganut dPOS (Delegated Proof of Stake) itu.
“Pada ekosistem EOS ada yang disebut sebagai ECAF (EOS Community Arbitration Forum). Tak seperti BP, pada ECAF tidak ada mekanisme voting, tetapi sekadar ditentukan dalam EOS Constitution. Ini semacam ‘undang-undang dasar’ yang disepakati oleh sejumlah pihak yang ingin terlibat pada ECAF,” kata Luke Stokes, salah seorang anggota komunitas eosDAC yang tinggal di Puerto Rico. eosDAC sendiri berperan sebagai BP.
Kata Stokes, ECAF difungsikan untuk mengatasi perselisihan dalam komunitas. Misalnya, ketika seseorang menyatakan ada orang dari akun lain yang mencuri kriptonya, maka ECAF mengkaji dan menguji apakah tuduhan ini benar. Jikalau benar, maka ECAF akan menambahkan akun tersebut ke dalam daftar hitam EOS dan ini diberitahukan kepada seluruh BP.
Nah, untuk memastikan daftar hitam itu diterapkan, sebanyak 21 BP teratas harus mengkonfigurasikannya secara benar pada node (simpul) komputer yang mereka kelola. Inilah yang memungkinkan, ketika pihak-pihak yang ada di daftar hitam ingin melakukan transaksi, maka transaksinya seketika dibekukan. Hal lainnya, kripto pada transaksi tersebut juga tak dapat diretas oleh pihak-pihak lainnya.
Masalahnya, semakin banyak perintah daftar hitam yang dikeluarkan oleh ECAF, maka semakin banyak pula BP yang kebingungan, hingga ragu soal derajat keamanan EOS sendiri.
Menurut Stokes, komunitas EOS saat ini mulai menawarkan mekanisme keamanan lain untuk melindungi token-token di bawah EOS, misalnya dengan multi-signature dan time-delayed permissions.
“Di atas itu semua, peran dari ke-21 BP teratas itu seolah-olah jumawa melakukan sensor,” kata Stokes.
“Ada BP terbaru yang masuk dalam kategori 21 BP teratas, yakni games.eos yang gagal mengkonfigurasi daftar hitam. Lalu 2,09 juta EOS itu terkirim dari akun terlarang yang masuk dalam daftar hitam. Masalahnya, EOS itu dikirimkan ke sejumlah address yang berbeda-beda secara cepat. Saking cepatnya, BP justru tak sanggup menanganinya,” kata Kevin Rose, Pemimpin komunitas EOS, sekaligus BP yang tinggal di New York.
Menurut Rose, peristiwa itu bukanlah semata-mata aktivitas peretasan. Lagipula itu sudah berlangsung lebih dari satu minggu. Sistem daftar hitam, bagi Rose, hanya bersifat sementara untuk mengatasi keamanan dalam EOS. [Cointelegraph.com/ed]
