Internet dilanda kepanikan Senin pagi lalu setelah pengunjung situs blockchain explorer untuk mata uang kripto Ethereum mendapatkan pesan pop-up misterius “I337” atau “elite” dalam bahasa hacker lawas. Pesan ini mengindikasikan situs tersebut telah diretas.
Blockchain explorer adalah portal yang memungkinkan pengunjungnya mengamati transaksi mata uang kripto yang bersifat publik —atau gampangnya, situs laporan keuangan khusus mata uang kripto. Etherscan.io adalah salah satu blockchain explorer yang paling populer (saat ini situs ini menempati posisi 1.379 situs paling banyak dikunjungi sejagat menurut Alexa). Tak ayal, begitu pesan tersebut terkuak—yang bisa dibaca “situs ini telah dihack” muncul, pengguna rutin Etherscan.io segera memperingatkan pengguna lainnya untuk menjauhi situs tersebut lewat Twitter.
Videos by VICE
Etherscan.io tidak menawarkan layanan dompet digital meski mengizinkan penggunanya mempublikasikan data transaksi mentah duit kripto ke network Ethereum. Jadi kemungkinan besar dompet-dompet para pengunjung situs ini tak akan terimbas peretasan yang terjadi Senin lalu.
Kendati begitu, menurut seorang pakar keamanan informasi, peretasan yang kesannya sepele ini bisa saja sangat berbahaya karena pada dasarnya para peretas bisa menampilkan situs Etherscan.io semau mereka. Lalu, walau peretasan ini tak akan memengaruhi jaringan blockchain, peretasan ini bisa menipu para pengunjung Etherscan.io, misalnya, dengan membuat pengunjung percaya akunnya jauh lebih gemuk dari sebelumnya.
“Situs laporan keuangan bisa kena deface karena komentar pengunjungnya? jelas itu akan memengaruhi pasar finansial,” ujar pakar keamanan informasi Jim Manico lewat sebuah pesan DM Twitter. “Untuk situs laporan keuangan seperti ini (etherscan.io), ini jelas sebuah kelemahan yang membahayakan.”
Mengacu pada sebuah unggahan Reddit yang dibuat oleh admin subreddit Etherescan.io, serangan tersebut terjadi lantaran ada pengunjung situs memasukkan kode berbahaya di kolom komentar situs. Alhasil, command tersebut dieksekusi oleh browser yang digunakan pengunjung. Etherscan.io sendiri kini sedang memperbaiki situsnya, menurut unggahan tersebut. Lewat akun resmi Twitteryam Etherscan.io berusaha menyakinkan penggunanya bahwa “situs mereka tak mengalami masalah peretasan apapun (kecuali bila ada peretasan yang belum mereka ketahui. Satu-satunya yang bermasalah adalah command javascript ‘alert(1337).’ pada pesan pop-up.”
Tonton dokumenter VICE yang mendatangi tambang bitcoin ilegal tersembunyi di pedesaan:
Juru bicara layanan penyedia kolom blog Disqus—yang digunakan oleh Etherscan.io—mengatakan pada Motherboard lewat surel bahwa kesalahan sepenuhnya ada di tangan Etherscan yang membangun aplikasinya dengan menggunakan API Disqus. Lebih jauh, Disqus sudah memberikan usulan solusi untuk mengatasi kendala yang dihadapi oleh Etherscan lewat Reddit, dan seorang admin Reddit membalas usulan tersebut dengan mengatakan bahwa Etherscan akan menjalankannya. Sementara itu, saat dimintai komentar, juru bicara Etherscan malah menyarankan kami untuk melihat update media sosial mereka.
Menurut peneliti keamanan informasi Scott Helme, seorang peretas yang memiliki kemampuan menjalankan kode berbahaya punya kendali penuh atas sebuah aktif. Batas dari apa yang bisa mereka lakukan cuma fantasi mereka. Jika mau, mereka bisa menyusupkan berbagai macam malware seperti keyloggers, lewat serangan XSS seperti yang menimpa Etherscan.
“Mereka bisa saja menaruh situs bokep hardcore di laman Etherscan. Semau-mau merekalah,” kata Helme lewat sebuah DM Twitter. Masih menurut Helme, resiko terbesar yang dihadapi Etherscan saat ini adalah peretas bisa dengan seenaknya mengganti tampilan situs blockchain explorer tersebut.
“Peretas bisa mengganti harga yang tertera dalam grafik, memicu penjualan/pembelian,” ujar Helme. “Saya yakin jika tampilan harganya diutak-atik banyak orang yang jadi korban.”
Apa yang dikatakan Helme memang tidak main-main. Di dunia duit kripto yang bergerak sangat cepat—di mana para spekulan berusaha mati-matian menyetir pasar dan transaksi tak bisa dikembalikan, gagasan bahwa peretas bisa mengganti tampilan harga duit kripto untuk mempertebal kocek mereka sendiri jelas bikin merinding.