Ancaman mendalam: Kunci aset kripto yang "ditebak" di dalam dompet lama

Minggu ini di jaringan terjadi kehebohan besar. Departemen Kehakiman AS melalui perhitungan kekerasan berhasil memecahkan kunci pribadi dari sejumlah dompet versi lama, langsung mentransfer lebih dari 40.000 aset kripto, dengan total nilai mendekati 2,4 miliar dolar AS. Yang lebih menakutkan lagi, seluruh proses ini tidak melibatkan serangan hacker atau penipuan rekayasa sosial—murni mengandalkan “tebak” kekuatan komputasi.

Mengapa kunci ini begitu mudah dibuka?

Berdasarkan analisis mendalam dari komunitas teknologi, aset yang diretas disimpan di alamat dompet versi lama yang dibuat antara tahun 2020-2021. Intinya, dua aplikasi “fosil” ini—imToken 2.8.1 dan Trust Wallet 5.14—mengandung celah fatal.

Entropi fungsi acak mereka hanya 112 bit, jauh di bawah standar keamanan industri yang diakui yaitu 256 bit. Dengan kata lain, ini setara dengan sebuah kunci yang seharusnya memiliki password kompleks 32 karakter, tetapi dibuat menjadi versi yang hanya terdiri dari 8 digit angka.

Tim teknis memperkirakan biaya: menyewa kekuatan komputasi cloud seharga 32.000 dolar AS, dan melalui brute-force enumerasi kombinasi sebanyak 2 pangkat 32, hanya membutuhkan waktu 4 hari untuk memecahkan “kunci rapuh” ini sepenuhnya. Ini bukan sekadar kemungkinan teoritis, tetapi sudah benar-benar terjadi.

Seberapa besar risiko ini?

Pemindaian di jaringan menunjukkan masih ada 1867 alamat serupa yang menyimpan lebih dari 70.000 aset kripto utama, dengan nilai total mencapai 4,7 miliar dolar AS. Ini berarti, dari pengguna dompet versi lama, sekitar 1 dari 20 orang menghadapi risiko “pembobolan presisi” yang sama.

Lebih menyakitkan lagi, banyak pengguna sama sekali tidak menyadari hal ini. Mereka mungkin sudah bertahun-tahun tidak memindahkan aset, percaya diri bahwa “tidak pernah ada masalah berarti aman.” Tapi dalam dunia kripto, masalah keamanan bukan soal “apakah akan terjadi” tetapi “kapan akan terjadi.”

Mengapa dompet lama bisa menjadi bom waktu?

Penyebab utama terletak pada entropi—ini adalah parameter kunci yang menentukan kekuatan acak dari kunci pribadi. Lingkungan acak dengan entropi 112 bit tidak mampu membangun pertahanan nyata bagi kemampuan komputasi modern. Pengembang saat itu mungkin merasa cukup, tetapi seiring menurunnya biaya komputasi awan dan meningkatnya hashrate, standar ini sudah menjadi “rahasia terbuka.”

Kunci ini seharusnya bersifat unik dan terlindungi, tetapi karena kekurangan desain entropi, ia menjadi target yang bisa di-brute-force. Ini seperti meninggalkan “kunci cadangan” yang sama di setiap pintu rumah.

Tiga langkah yang harus segera dilakukan

Pertama, periksa dompet Anda sendiri. Jika alamat dibuat 3 tahun lalu, jangan ragu—segera pindahkan aset. Alamat baru harus dibuat secara offline dengan entropi 256 bit, karena perangkat lunak acak jauh kurang dapat diandalkan dibandingkan lemparan dadu.

Kedua, tingkatkan arsitektur keamanan. Hindari bergantung hanya pada seed phrase untuk dompet panas. Prioritaskan penggunaan hardware wallet dengan password tambahan, serta isolasi fisik dan entropi buatan untuk membangun perlindungan ganda.

Ketiga, biasakan melakukan migrasi secara rutin. Jangan percaya pada logika “lama tidak bermasalah berarti aman.” Perbarui alat secara berkala, migrasikan aset, dan audit alamat secara rutin—ini adalah prinsip bertahan di era kripto.

Dalam dunia kripto, acak adalah kehidupan, dan kunci pribadi adalah kekayaan. Kekuatan kunci ini menentukan ketebalan aset Anda.