Komunitas Monero menghadapi kemunduran yang signifikan pada tanggal 1 September 2023, ketika dompet Community Crowdfunding System (CCS) mengalami pelanggaran keamanan, yang mengakibatkan hilangnya 2,675.73 XMR, setara dengan sekitar $ 460,000. Insiden tersebut, yang diungkapkan oleh pengembang Luigi pada 2 November, telah membuat komunitas Monero bergulat dengan akibat dari serangan tersebut.

Sumber Pelanggaran yang Tidak Teridentifikasi dan Tanggapan Pengembang

Pembobolan tersebut, yang menargetkan dompet CCS yang digunakan untuk mendanai proposal pengembangan dari anggota komunitas, masih diselimuti misteri. Luigi dan pengembang Monero, Ricardo "Fluffypony" Spagni, adalah satu-satunya orang yang memiliki akses ke frase seed wallet. Postingan Luigi mengungkapkan bahwa dompet CCS dibuat di sistem Ubuntu pada tahun 2020, di samping node Monero.

Pelanggaran tersebut, yang melibatkan sembilan transaksi yang menguras seluruh saldo dompet CCS, menimbulkan kekhawatiran di dalam komunitas Monero. Spagni menyoroti gawatnya situasi ini, dengan menyatakan, "Serangan ini tidak masuk akal, karena mereka telah mengambil dana yang mungkin diandalkan oleh kontributor untuk membayar sewa atau membeli makanan.

Spagni menunjukkan adanya potensi hubungan dengan serangan yang sedang berlangsung sejak April, yang melibatkan kunci yang dikompromikan di berbagai mata uang kripto, termasuk Bitcoin dan Ethereum. Para pengembang berspekulasi bahwa pelanggaran tersebut mungkin berasal dari kunci dompet yang tersedia secara online di server Ubuntu. Pengembang pseudonim Marcovelon mengangkat kemungkinan penyerang mengeksploitasi mesin Windows yang disusupi, menekankan kesamaan kejadian seperti itu dalam pelanggaran besar.

Analisis Penelitian Moonstone tentang Pelanggaran Dompet CCS Monero

Perusahaan analisis Blockchain Moonstone Research melakukan analisis mendalam tentang pelanggaran dompet Monero CCS, menjelaskan aktivitas peretas dan potensi kerentanannya.

Pelanggaran yang dilakukan oleh peretas terampil pada tanggal 1 September ini melibatkan sembilan transaksi yang mengosongkan dompet CCS. Moonstone mengidentifikasi transaksi yang tidak biasa dengan 17 input enote dan 11 output enote, melabelinya sebagai operasi "beracun" karena strukturnya yang khas. Perusahaan percaya bahwa hanya penyerang yang mengeksekusi transaksi ini, meninggalkan jejak aktivitas mereka.

Moonstone melacak serangan tersebut ke pengguna dompet Monerujo yang mengaktifkan fitur PocketChange. Monerujo, sebuah dompet Monero non-kustodian Android, menawarkan fitur ini untuk mengelompokkan koin ke dalam beberapa "kantong", yang memungkinkan pembelanjaan instan tanpa penundaan selama 20 menit. Penyerang menghasilkan 11 output enote, sebuah anomali yang mengindikasikan penggunaan Monerujo versi 3.3.7 atau 3.3.8.

Tantangan Privasi dan Kekhawatiran Komunitas

Pelanggaran dan analisis selanjutnya menggarisbawahi tantangan yang dihadapi mata uang kripto yang berfokus pada privasi seperti Monero dalam hal keamanan. Meskipun mekanisme privasi inti Monero tetap kuat, insiden ini memicu diskusi di dalam komunitas mengenai keamanan proyek terdesentralisasi dan potensi risiko yang terkait dengan fitur-fitur canggih seperti PocketChange.

Moonstone Research menelusuri tiga transaksi peretas, mengungkapkan aspek-aspek tertentu dari fitur privasi Monero.

Postmortem Moonstone mengungkapkan bahwa, dalam keadaan tertentu, transaksi XMR dapat dilacak sebagian meskipun memiliki fitur privasi. Investigasi difokuskan pada satu transaksi yang menggabungkan dana dari sembilan transaksi peretasan awal, yang menunjukkan kemungkinan penelusuran potensial.

Meskipun laporan tersebut menunjukkan kemampuan penelusuran parsial, laporan tersebut menekankan pada kompleksitas transaksi Monero, yang dirancang untuk memberikan kompleksitas pada grafik transaksi, yang mengarah pada positif palsu dan ambiguitas. Perkembangan ini memicu diskusi dalam komunitas kripto, dengan beberapa orang mengungkapkan keterkejutan dan kekhawatiran tentang keterbatasan privasi yang dirasakan.

Pakar keamanan Seth Simmons menyoroti sifat tidak lazim dari skenario penelusuran, menekankan bahwa itu tidak berlaku untuk pengguna Monero pada umumnya. Simmons menekankan bahwa XMR secara inheren tetap bersifat pribadi dan tahan terhadap sebagian besar upaya pelacakan. Dia mengaitkan kemampuan penelusuran dengan keadaan yang tidak biasa, termasuk berbagi kunci pribadi dengan perusahaan pengawasan rantai dan memberikan metadata off-chain yang signifikan secara sukarela.

Komunitas Monero menghadapi tantangan yang sedang berlangsung dalam mengatasi pelanggaran tersebut, menyoroti pentingnya upaya berkelanjutan untuk meningkatkan langkah-langkah keamanan dalam sistem mata uang digital.