Dunia aset kripto tiba-tiba mengalami gelombang besar di tengah malam. Pada pukul 2:17 pagi, sistem pemantauan on-chain tiba-tiba meledak, sekaligus memicu 22 alarm. Alarm-alarm ini menunjukkan bahwa dana dari 22 alamat Bitcoin telah dipindahkan, total 40142 BTC, senilai sekitar 24,3 juta dolar AS.

Namun, yang benar-benar mengejutkan adalah cara operasi transfer kali ini. Alamat-alamat ini menggunakan skrip P2WPKH yang diketahui, tetapi tanda tangan tidak berasal dari pemilik asli, melainkan dihasilkan oleh kunci privat baru yang dikendalikan oleh Departemen Kehakiman AS. Penemuan ini segera memicu penyelidikan mendalam oleh para ahli di industri.

Hasil survei sangat mengejutkan. 22 alamat yang diserang ini dibuat antara tahun 2020-2021, menggunakan versi lama dari aplikasi dompet tertentu. Versi ini menggunakan fungsi acak yang lemah, dengan entropi acak hanya 112 bit, jauh di bawah standar keamanan 128 bit. Ini berarti, hanya dengan menginvestasikan 32.000 dolar untuk menyewa sumber daya komputasi awan, dalam waktu singkat 4 hari, kunci pribadi dapat direproduksi melalui metode enumerasi paksa. Metode serangan ini lebih tepat disebut sebagai "tebak kata sandi" tingkat tinggi daripada sebagai peretasan.

Lebih mengkhawatirkan lagi, data on-chain menunjukkan ada 1867 alamat yang menggunakan algoritma acak lemah yang sama, dengan saldo yang belum dilikuidasi mencapai 78940 BTC, sekitar 4,7 miliar dolar AS. Dari dana ini, 57% telah dipindahkan ke bursa, sementara 43% masih "tidur" di alamat asal dan selalu menghadapi risiko untuk "diprediksi".

Menghadapi situasi yang serius ini, para ahli industri telah mengajukan dua saran keamanan: pertama, memindahkan dana ke lingkungan acak sejati dengan entropi lebih dari 256 bit secara offline, seperti menggunakan dadu untuk menghasilkan angka acak dan melakukan tanda tangan offline; kedua, meninggalkan penggunaan frase bantuan yang dihasilkan secara otomatis oleh dompet panas, dan beralih ke penggunaan dompet perangkat keras yang dipadukan dengan frase sandi untuk mencapai isolasi fisik dan meningkatkan nilai entropi secara manual.

Dalam dunia Aset Kripto, kunci pribadi setara dengan aset, dan kekuatan keacakannya berhubungan langsung dengan keamanan dana. Banyak investor telah mulai mengambil tindakan, memindahkan sebagian besar dana ke dompet dingin, bahkan menghancurkan perangkat lama yang mungkin mengandung risiko keamanan. Peristiwa ini tanpa diragukan lagi telah membangunkan seluruh komunitas Aset Kripto, mengingatkan semua peserta untuk meninjau kembali dan memperkuat langkah-langkah keamanan mereka.