Lukisan Misterius Menjanjikan Hadiah Bitcoin Mengungkap Praktik Pencurian Mata Uang Digital

Artikel ini pertama kali tayang di Motherboard

Pada 2015, seorang seniman yang memiliki akun twitter @coin_artist menciptakan sebuah teka-teki Bitcoin bernama “ The Legend of Satoshi Nakamoto .” Menurut penciptanya, teka-teki itu terdiri dari sebuah lukisan yang menyimpan kunci ke sebuah dompet online yang memiliki 4,87 (atau seharga US$50.000 saat ini). Semenjak teka-teki ini diciptakan, komunitas penggiat teka-teki Bitcoin terus mengawasi aktivitas dompet teka-teki tersebut—yang dikenal dengan 1FLAMEN6 . Mereka ingin memastikan barangkali ada yang sudah berhasil memecahkan teka-teki tersebut dan mengklaim Bitcoin dalam dompet tersebut.

Pada tanggal 17 November lalu, dompet tersebut menunjukkan aktivitas pertama sejak teka-teki Bitcoin termashyur itu pertama kali dibuat. Anehnya, bukannya mengosongkan isi dompet, seseorang malah memasukkan 0.125 Bitcoin, alhasil, kini ada 5 Bitcoin dalam dompet tersebut. Penambahan jumlah Bitcoin dalam 1FLAMEN6 jelas mengagetkan pembuat teka-teki—selain tentunya komunitas yang dengan sangat antusias mengikuti perkembangan pemecehan teka-teki tersebut. Jelas, bukannya ikut membantu pemecahan teka-teki, kejadian ini malah menciptakan sebuah misteri baru: jaringan dompet yang saling terhubung dan mudah diakses yang mampu memfasilitasi tranksaksi otomatis Bitcoin.

Menurut peretas yang pertama kali menemukannya, dompet-dompet ini bisa jadi adalah bagian dari skema penggembosan Bitcoin yang telah berhasil mencuri Bitcoin dari layanan dompet dan pertukaran Bitcoin selama bertahun-tahun. Cara kerjanya mirip dengan kode dalam film Office Space yang dirancang untuk mencatut selisih—meski jumlah cuma beberapa sen—dari setiap transaksi yang terjadi. Di sisi lain, kemungkinan lain yang terjadi bisa jadi lebih seram, seperti kesalahan coding misalnya.

“Alamat Bitcoin 1FLAMEN6 adalah salah satu alamat yang paling diawasi dalam dunia Bitcoin ” ujar @coin_artist lewat sebuah email. Jadi begitu terjadi penambahan coin sdari 4,87 menjadi 5 BTC, kami menganggapnya sebagai sebuah peristiwa yang mencengangkan. Dan apa yang kami baca dari peristiwa ini adalah sebuah teka-teki yang luar biasa besar.”

Tiga hari sebelum terjadinya penambahan isi dompet 1FLAMEN6, seorang redditor bernama fitwear mengunggah sebuah pesan di Bitcoin subreddit bahwa dompetnya telah diretas. Totalnya ada sembilan Bitcoin yang digondol oleh sang peretas. Yang tak diketahui fitwear saat itu adalah 0,125 Bitcoin dari semua Bitcoin yang raib dari dompetnya didonasikan ke dompet 1FLAMEN6.

Fakta ini baru diungkap pada akhir November lalu oleh seorang peretas topi putih yang membeberkan detail pencurian sembilan Bitcoin dalam sebuah unggahan di Pastebin. Dalam penjelasannya, sang peretas menjelaskan bahwa pencurian Bitcoin milik fitwear sejatinya adalah sebuah penelitian keberadaan skema pencurian Bitcoin yang masif dan telah lama berjalan.

Videos by VICE

Mangacu pada unggahan peretas anonim tersebut, selama beberapa bulan terakhir sang pembobol dompet fitwear berusaha menyusun cara membuat semacam private key untuk mendapatkan akses dompet-dompet Bitcoin . Sang peretas lantas mengunci caranya hanya untuk melihat apakah benar-benar bisa berfungsi. Beginilah, asal muasal pencurian isi dompet Bitcoin fitwear.

Salah satu cara membuat private key untuk membuka dompet Bitcoin adalah dengan memasukan sebuah frase yang mudah diingat melalui SHA256, sebuah algoritma hashing kriptografik yang mengubah sebuah frase menjadi sebaris angka dan huruf yang kelihatannya acak. Nah, bila seorang pemilik dompet lupa barisan angka dan huruf tersebut, maka yang perlu dia lakukan adalah mengingat frase awalnya saja. Jadi, begitu kembali dimasukkan ke dalam algoritme SHA256, private key yang dicari akan segera muncul.

Sayangnya, metode ini memiliki kelemahan yang sangat mudah dieksploitasi. Di kalangan pengguna Bitcoin, misalnya, sudah jadi rahasia bahwa frase-frase seperti “Satoshi Nakamoto” atau “these aren’t the droids you’re looking for” kerap diproses dengan menggunakan algoritma SHA256 untuk menghasilkan password sebuah dompet Bitcoin.

Sang peretas anonim itu sebenarnya cuma penasaran apakah dirinya bisa membuat sebuah proses otomatis untuk menebak frase awal yang digunakan untuk membuat password dompet. Setelah menyisir seluruh blockchain Bitcoin untuk menemukan semua alamat dompet publik yang pernah digunakan, sang peretas kemudian menggunakan semua alamat dompet publik ini sebagai input yang dimasukkan ke dalam algoritma SHA256, dengan harapan ada orang lain yang meng-hashing dompet yang sudah untuk menciptakan dompet-dompet baru.

Ternyata, beberapa private key yang dibuat dengan cara ini bisa membuka akses ke dompet-dompet yang dulunya pernah menyimpan Bitcoin. Hal yang sama terjadi pada private key yang dibuat dari frase-frase yang banal—misalnya, sang peretas memasukkan kata “reciever” ke dalam algoritma SHA256, mengambil hasilnya dan kembali memasukannya ke dalam SHA256—atau ID-ID transaksi.

Setelah melewati proses ini, sang peretas kemudian berhasil membuat private key lebih dari 100 dompet Bitcoin. Akan tetapi, ada yang aneh dari dompet-dompet ini: sejumlah kecil bitcon ditransfer ke dalam dompet-dompet ini dalam interval yang tidak tetap dan kembali ditransfer keluar dompet beberapa detik atau menit setelahnya. Lebih dari itu, kebanyakan dompet-dompet ini terhubung satu sama lain sehingga sang peretas mengiranya sebagai perbuatan sebuah bot—alamat publik dompet-dompet ini digunakan sebagai frase untuk membuat private key dompet lain yang menerima transferan Bitcoin.

Peretas yang membuat unggahan di Pastebin cenderung percaya bahwa jaringan dompet yang mereka temukan ini bisa jadi salah skema pencurian Bitcoin yang tersimpan di balik coding wallet generator atau pertukaran Bitcoin. Kemungkinan besar, skema ini telah lama mencuri sejumlah kecil Bitcoin selama bertahun-tahun.

Namun, ini masih sekadar dugaan. Seperti yang dijelaskan oleh peretas topi putih anonim ini, transaksi Bitcoin otomatis bisa juga disebabkan oleh beberapa kesalahan coding. Atau, mungkin ini adalah sebuah teka-teki yang harus segera dipecahkan.

Sayangnya, misteri ini sepertinya tak akan pernah terpecahkan. Menurut @coin_artist sendiri, alasan sang peretas memasukan Bitcoin ke 1FLAMEN6 adalah untuk menarik perhatian karena dia tahu alamat dompet itu diawasi oleh banyak orang.

“Mengirim sejumlah kecil Bitcpin ke alamat yang diawasi banyak orang untuk mengundang perhatian adalah langkah yang brilian—dia tahu orang-orang yang mengawasi alamat dompet ini adalah peretas kelas atas atau pemecah teka-teki kriptografois,” kata @coin_artist dalam emailnya. “Apa yang tersaji di depan mata kita adalah sebuah teka-teki besar. Saya tak bisa memikirkan satupun nama yang bisa memecahkan teka-teki ini.

Setelah sang peretas mengembalikan sembilan Bitcoin yang dicuri dari dompet Fitwear, dia lantas menghubungi blockchain.info untuk melaporkan temuannya. (Fitwear membiarkan .125 Bitcoin tersimpan di 1FLAMEN6 sebagai ucapan terimakasih taas kembalinya sembilan Bitcoin milih). Menurut DM Reddit yang dilihat Motherboard, fitwear meneruskan pesan dari sang peretas misterius ke @coin_artist yang menjelaskan bahwa tindakannya menggondol sembilan Bitcoin milik fitwear adalah pencegah agar tidak digondol oleh bot.

Dalam sebuah pernyataan publik yang dikeluaran blockchain.info, dari 128 alamat yang mereka terima dari sang peretas anonim, tak satupun di antaranya terhubung degan layanan mereka. Sedang dalam kasus fitwear, alasan kenapa dompetnya begitu rentan diretas adalah karena dirinya membuat dompet itu dengan memasukkan alamat dompet publik ke dalam SHA256 sebelum mengimpornya ke blockchain.info.

Setelah semua dijelaskan, masih ada dua misteri yang tersisa: pemecahan teka-teki 1FLAMEN6 dan sumber transaksi misterius yang ditemukan oleh sang peretas. Satu hal yang pasti: kalau kamu menggunakan frase gampangan dan mudah diingat untuk membuat private key dompet Bitcoin mu, sudah barang tentu isinya bakal mudah dibobol.

“Menurut saya, saat ini pengguna Bitcoin sudah cukup pintar (untuk tidak menggunakan frase-frase banal) dan sepertinya memang ada kemungkinan sesuatu menyeramkan tengaht terjadi,” kata @coin_artist. “Mendesain sebuah sistem dimana password didalamnya bisa dibuat di dalamanya bisa dimonitor atau malah dicolong sebuah script adalah hal yang memungkinkan. Luangkan waktumu dan segera pastikan kalau private key kamu aman.”