Peretasan Bitfinex: Apa Yang Kita Tahu (Dan Tidak Kita Ketahui)
Lebih dari $ 60m dalam bentuk bitcoin telah dicuri dari salah satu bursa pertukaran mata uang digital terbesar di dunia kemarin, dan hampir beberapa hari kemudian, kejadian ini masih diselimuti oleh beberapa misteri.
Kasus pencurian Bitfinex merupakan kerugian terbesar dari bursa pertukaran Bitcoin setelah kasus Mt GOX yang berbasis di jepang yang telah kehilangan 744.408 BTC di awal tahun 2014 (senilai $ 350m), pelanggaran yang pada akhirnya akan menyebabkan penghentian operasi pada bursa pertukaran.
Baca juga: Mengapa Kita Harus Menggunakan Bitcoin?
Pada saat ini, nilai 119.756 BTC yang dicuri dari Bitfinex berdiri di sekitar $ 72m, atau sekitar 18% dari apa yang hilang dari kasus Mt GOX tempo dulu.
Mengingat jumlahnya, kasus pencurian tersebut telah memicu banyaknya kebingungan dan tingkat frustrasi di kalangan pedagang pasar serta pengamat bitcoin semenjak pengumuman dari Bitfinex keluar.
Bitfinex sendiri sampai saat ini belum mempublikasikan temuan apapun dari investigasi internal yang sedang berlangsung.
Inilah yang kita tahu (dan apa yang kita tidak tahu) sejauh ini:
Apa yang kita tahu
Akun Multi-signature Mempunyai Dampak
Sumber kerentanan tampaknya terletak pada bagaimana Bitfinex menyusun rekening dan penggunaan dari penyedia dompet bitcoin BitGo ketika lapisan tambahan untuk keamanan pada transaksi nasabah.
Diumumkan pada tahun 2015, Bitfinex dan BitGo menciptakan sebuah sistem dimana multi-signature dompet, yang mana kunci akan dibagi di antara sejumlah pemilik untuk mengelola sejumlah risiko yang akan muncul serta yang akan diberikan kepada setiap pelanggan.
Perusahaan berusaha untuk mencari alternatif pada proses standar yang digunakan oleh bursa pertukaran pada saat itu yang melihat dana nasabah dalam dompet secara offline yang lebih besar dan terhubung dengan dompet “panas” yang digunakan untuk memenuhi permintaan likuiditas.
Sebaliknya, setiap pengguna Bitfinex memiliki set kunci mereka sendiri yang dibuat pada platform, menggunakan pengaturan kunci 2-dari-3 dimana Bitfinex memegang dua kunci (termasuk satu offline) dan BitGo menggunakan yang ketiga untuk menyetujui/menandatangani transaksi.
Untuk menarik dana dalam jumlah yang besar, BitGo harus menandatangani transaksi tersebut.
Kerugian Pelanggan Bitfinex Yang Sangat Besar
Sementara ini tingkat kerugian keseluruhan pelanggan secara individual masih belum jelas, indikasi ini menunjukkan subset yang signifikan yang berdampak dari komunitas perdagangan bitcoin.
Beberapa jam setelah berita itu keluar, para pelanggan Bitfinex menyatakan lewat Twitter dan Reddit melaporkan bahwa akun mereka telah dibekukan.
Beberapa pengguna menyatakan kekesalannya walaupun bursa tersebut memiliki langkah-langkah keamanan seperti otentikasi dua faktor, di mana perangkat sekunder (seperti ponsel) yang digunakan untuk memberikan lapisan kode akses tambahan.
Di sisi lain, dana yang ada di pertukaran mengenai hack dikatakan dalam kondisi yang aman, namun bursa pertukaran belum merilis rincian resmi kapan dan bagaimana proses penarikan akan berjalan secara normal kembali.
Harga Bitcoin Jatuh
Salah satu dampak yang paling terasa dari kasus peretasan Bitfinex bisa dilihat pada harga bitcoin, harga bitcoin langsung jatuh dengan tajam setelah berita itu keluar.
Harga Bitcoin menurun sebanyak 20%, harganya jatuh hingga $ 480 USD dan sekarang sudah kembali pulih kembali.
Grafik via bitcoinwisdom
Bitfinex Masih Offline
Sejauh ini Bitfinex masih offline, dengan pengumuman yang menyatakan bahwa Bitfinex akan mengaktifkan layanannya kembali agar para pengguna dapat melihat akun mereka, namun proses penarikan, deposit dan perdagangan tidak dapat dilakukan.
Apa Yang Tidak Kita Ketahui
Siapa Yang Harus Disalahkan?
Mengingat jumlah uang yang terlibat sangat besar, banyak dari komunitas mencari kambing hitam.
Salah satu target yang jelas yaitu Bitfinex itu sendiri, yang memiliki kepemilikan dua dari tiga kunci privat yang diperlukan untuk memproses dana yang hilang dari rekening multi-signature. Dugaan lainnya apakah kelemahan dalam model BitGo ini ikut serta dalam insiden tersebut.
Kemarin, BitGo turun ke media sosial untuk menyatakan bahwa penyelidikan internal telah muncul tidak ada bukti pelanggaran server pada mereka.
As we directly notified our customers earlier today, our investigation has found no evidence of a breach to any BitGo servers.
— BitGo (@BitGo) August 2, 2016
Namun meskipun ada asuransi, beberapa pengamat menyalahkan layanan karena “membabi buta dalam menandatangani” penarikan yang menelan 120.000 BTC dan mengapa tidak ada penanggulangan yang potensial karena adanya pergerakan dana sebesar itu.
Dengan volume transaksi 30-harinya hanya di atas 600.000 BTC, jumlah dana peretas itu kira-kira hanya seperenam dari ukuran orderan bulanan bursa.
Kapan Dana Bisa Diakses?
Salah satu pertanyaan yang umum di antara pelanggan adalah mengenai status deposit yang tidak berupa mata uang bitcoin. Sejak kejadian hack ini terungkap, Bitfinex menyatakan bahwa hanya pemilik bitcoin yang terkena dampak ini.
Cukup banyak pelanggan saat ini yang mengadukan hal serupa di media sosial untuk menanyakan kapan mereka dapat mengakses atau menarik dana mereka kembali.
Jawaban dari pertanyaan tersebut akan segera hadir. Perwakilan dari bursa pertukaran Zane Tackett, yang telah menanggapi pertanyaan melalui media sosial sejak kasus tersebut terjadi, mengatakan akan ada update mengenai informasi tersebut dengan segera.
Apakah Bursa Lainnya Terkena Dampak?
Para pengamat pasar lainnya berspekulasi apakah outage ini dapat menyebabkan komplikasi pada bursa lainnya yang mungkin telah menggunakan Bitfinex sebagai sumber likuiditas.
Dapat kita ketahui bahwa Bitfinex tidak menawarkan API, seperti bursa pertukaran lain pada umumnya.
Masalah semacam itu pernah menimpa Bitstamp pada awal tahun 2015, bursa tersebut terkena hack, pedagang dan penyedia ATM yang terhubung ke bursa tersebut mengalami gangguan yang sangat meresahkan.
Sampai saat ini, belum jelas apakah ada pertukaran yang lebih kecil yang terkena dampak.
Dalam sebuah pernyataan dari bursa pertukaran Kraken dan Bitstamp menunjukkan bahwa pendekatan mereka untuk menerapkan teknologi BitGo multisig berbeda dari yang Bitfinex terapkan saat ini.
“Untuk saat ini saya sudah bisa mengatakan bahwa pelaksanaan Bitstamp pada teknologi MultiSig BitGo ini secara fundamental berbeda dari yang Bitfinex terapkan,” Vasja Zupan, kepala pengembangan bisnis Bitstamp, mengatakan pada media online CoinDesk.
Melalui sebuah email, CEO Kraken Jesse Powell mengatakan bahwa sementara ini ia tidak bisa menawarkan rincian tentang langkah-langkah keamanan bursanya, ia mengatakan bahwa “kami yakin dalam konfigurasi kita saat ini” terkait dengan pelanggaran keamanan yang terjadi di Bitfinex.
Apakah Model Bisnis BitGo Beresiko?
Apakah BitGo dianggap bersalah.
Beberapa sumber menyatakan bahwa model bisnis BitGo terutama didasarkan pada pengisian klien perusahaan untuk layanan, dan bahwa target utama perusahaan adalah bursa pertukaran bitcoin.
Salah satu perwakilan pertukaran besar mengatakan bahwa insiden itu mengangkat isu dengan model keamanan multi-sig.
Apakah CFTC Harus Disalahkan?
Bitfinex telah di denda oleh Commodity Futures Trading Commission (CFTC) AS di awal tahun ini atas dugaan pelanggaran perdagangan, membayar denda sebanyak $ 75.000.
CFTC mengatakan pada saat itu, mengenai bagaimana pertukaran memegang kendali dari kunci pribadi bitcoin yang terkait dengan dana pengguna yang terhubung ke perdagangan. Menurut badan tersebut Bitcoin ini tidak benar-benar “disampaikan” setelah pembelian yang mereka lakukan, melainkan tetap di bawah kendali Bitfinex.
Sejak hack tersebut, beberapa kritikus menunjuk CFTC menciptakan kondisi ideal untuk tindak pencurian dengan melarang Bitfinex dari menggunakan cold storage pada dana nasabah.
Kelompok advokasi Coin Center, mengabaikan pernyataan bahwa CFTC adalah sebuah kesalahan, dengan alasan bahwa multi-sig adalah salah satu dari sejumlah pendekatan keamanan dan, seperti orang lain, rentan terhadap kerentanan atau kegagalan.
Dari materi media di tahun yang lalu juga menunjukkan bahwa hubungan Bitfinex dengan BitGo sudah mendahului penyelidikan CFTC.
Peretasan Bitfinex: Apa Yang Kita Tahu (Dan Tidak Kita Ketahui)