12,7 ribu BTC disita? Garis hidup acak di balik keamanan

Pada 14 Oktober 2025, Pengadilan Federal Brooklyn di New York membuka kembali sebuah dakwaan yang menunjukkan bahwa Departemen Kehakiman AS baru-baru ini melakukan tindakan penyitaan aset kripto terbesar dalam sejarah, menyita sekitar 127.000 koin Bitcoin, dengan nilai lebih dari 15 miliar dolar.

Tetapi detail yang lebih mengejutkan adalah, lembaga penegak hukum AS mendapatkan kunci pribadi bukan melalui peretasan atau membobol sistem, tetapi menemukan fakta yang konyol — kunci pribadi ini dihasilkan, sejak awal, bukan “acak”.

Bisa dikatakan, gejolak senilai puluhan miliar dolar yang dipicu oleh cacat kunci privat ini, telah menarik fokus industri dari narasi makro kembali ke rincian teknis paling dasar dari keamanan dompet: keacakan.

12.7 ribu koin Bitcoin yang “dicuri” dalam kasus misteri

Jika dilihat lebih dekat, kasus besar ini yang melibatkan sekitar 127271 koin Bitcoin (senilai sekitar 15 miliar USD) sebenarnya adalah sebuah kisah rumit yang terkait dengan “pencurian kolam penambangan”.

Seluruh peristiwa memiliki dua kata kunci: penipuan investasi dan kolam tambang Lubian.

Segala sesuatu bermula dari rantai pencucian keuntungan ilegal yang kompleks, yaitu organisasi penipuan di Kamboja yang menggunakan hasil kejahatan untuk diinvestasikan ke bisnis penambangan kripto yang tampak sah dan mereka kendalikan, yaitu kolam penambangan Lubian. Tambang tersebut terus menerus menghasilkan Bitcoin baru, dan uang haram yang awalnya memiliki noda kriminal, diubah menjadi BTC “bersih” yang baru ditambang, sehingga benar-benar dicuci bersih.

Menariknya, Lubian pada tahun 2020 sempat menjadi salah satu kolam penambangan terbesar di dunia, dan pada puncak kekuatannya pernah mengendalikan hampir 6% dari total hashrate jaringan Bitcoin, dan entitas penambangan Bitcoin yang begitu mencolok ini menjadi pusat kunci dari seluruh jaringan pencucian uang ilegal.

Sumber: Arkham

Namun, yang aneh adalah, LuBian diduga dicuri 127,426 koin Bitcoin pada bulan Desember 2020.

Mengapa disebut sebagai dugaan? Karena LuBian dan hacker belum secara terbuka mengakui serangan hacker ini, hanya platform intelijen on-chain Arkham yang pertama kali melaporkan masalah ini, dan Lubian menghilang tak lama setelah diserang, tiba-tiba menutup bisnis pertambangan pada Februari 2021.

Oleh karena itu, publik terus berspekulasi apakah peretas eksternal yang mencuri uang gelap, atau pengendali skema ponzi yang mengatur sendiri, memindahkan uang haram keluar dari kolam penambangan, berusaha menciptakan ilusi “pencurian”. Bagaimanapun juga, terlepas dari situasi apa pun, Bitcoin yang bernilai tinggi ini kemudian terdiam di blockchain selama lebih dari tiga tahun, menjadi sebuah kasus yang belum terpecahkan.

Hingga Juli 2024, sekitar 127.000 BTC secara tiba-tiba menyelesaikan transfer dan pengumpulan besar-besaran, dan alamat-alamat ini, setelah dibandingkan, merupakan arah dari dana yang “dicuri” pada tahun 2020 oleh Lubian. Jika diteliti lebih lanjut, waktu kejadian ini sangat sensitif—tepat terjadi menjelang penggerebekan yang dilakukan secara bersama oleh pihak berwenang Amerika Serikat, Kamboja, dan banyak negara lain di Asia Tenggara.

Dan menurut dokumen gugatan penyitaan sipil Departemen Kehakiman AS yang mencantumkan 25 alamat dompet, ternyata sangat cocok dengan alamat peretas dalam kasus pencurian Lubian, dengan kata lain, pemerintah AS berpendapat bahwa BTC ini bukan dicuri oleh peretas, tetapi merupakan hasil pencucian uang oleh kelompok penipuan dan kaki tangannya melalui Lubian.

Sumber: Milk Sad

Tentu saja, misteri sebenarnya adalah bahwa meskipun pengendali nyata dari grup penipuan tersebut secara teoritis masih belum tertangkap, pemerintah Amerika Serikat telah menguasai kunci pribadi yang relevan. Co-founder Cobo, Shen Yu, berpendapat bahwa lembaga penegak hukum tidak memperoleh kunci pribadi melalui metode pemecahan kekerasan atau peretasan, melainkan karena Lubian menggunakan algoritma pseudo-random yang memiliki cacat serius selama proses operasinya, yang menyebabkan kunci pribadi yang dihasilkan oleh dompet Lubian memiliki sifat yang dapat diprediksi.

Singkatnya, penyitaan aset bernilai tinggi ini disebabkan oleh kerentanan pada angka acak kunci privat, dan bukan masalah mekanisme dasar Bitcoin.

Randomness: Urutan Angka di Balik Keamanan Crypto

Jadi apa sebenarnya yang dimaksud dengan keacakan?

Dalam dunia blockchain, kunci pribadi pada dasarnya adalah angka biner 256 bit, angka ini besar sampai hampir abstrak—**ukuran teoritis adalah 2 pangkat 256, jauh melebihi jumlah atom di alam semesta, dan justru karena itu, kemungkinan kunci pribadi diretas dengan kekerasan secara teoritis mendekati nol: **

Kecocokan acak adalah “ketidakpastian” dalam menghasilkan kunci, benih, atau kata sandi yang besar ini, dengan kata lain, kunci privat yang aman harus dihasilkan secara acak sepenuhnya, yaitu diambil secara acak dan merata dari kemungkinan 2 pangkat 256.

Jika proses ekstraksi ini sepenuhnya acak, maka hampir tidak mungkin bagi penyerang untuk membenturkan kunci pribadi Anda melalui enumerasi, tebakan, atau pengulangan generasi. Namun masalahnya adalah, setelah ketidakacakan berkurang, kemampuan untuk memprediksi akan meningkat secara signifikan, memperkecil jangkauan serangan brute force, sehingga kunci pribadi menjadi mudah ditebak.

Misalnya, jika sumber acak (yaitu benih) yang digunakan saat menghasilkan kunci pribadi terlalu lemah, berasal dari sumber yang dapat diprediksi (seperti cap waktu, penghitung perangkat keras tetap, variabel yang mudah diindahkan), maka akan menyebabkan rentang kunci pribadi yang dihasilkan menyusut menjadi sekumpulan kecil yang dapat diprediksi dan dapat dihitung - beberapa dompet mainstream pernah terungkap di versi awal bahwa pustaka yang digunakan di versi iOS, dalam lingkungan produksi hanya menggunakan cap waktu sebagai entropi awal, yang mengakibatkan beberapa kunci pribadi dompet sangat mudah dipulihkan melalui pencarian kekerasan.

Sebenarnya, kerugian aset kripto yang disebabkan oleh angka acak yang lemah bukanlah hal baru. Pada tahun 2015, kelompok peretas Blockchain Bandit memanfaatkan generator angka acak yang bermasalah dan celah program, secara sistematis mencari kunci pribadi yang lemah, berhasil menemukan lebih dari 700.000 alamat dompet yang rentan dan mencuri lebih dari 50.000 ETH dari sana.

Dan menurut penelitian Milk Sad, melihat secara menyeluruh sejarah dompet dalam rentang 256 bit benar-benar mengejutkan—pada puncak sejarah 5 November 2020, jumlah Bitcoin yang disimpan di dompet dengan kelemahan acak dalam rentang ini pernah melebihi 53.500 BTC!

Lebih parahnya, bahkan setelah celah tersebut dipublikasikan, hingga kini masih ada orang yang terus mentransfer ke alamat lemah yang sudah diketahui ini…

Secara keseluruhan, jenis kecelakaan ini bukanlah kelemahan dari protokol Bitcoin itu sendiri, tetapi merupakan akibat dari lapisan implementasi (dompet, kolam penambangan, sistem manajemen kunci) yang tidak mematuhi persyaratan entropi tingkat kriptografi saat menghasilkan kunci pribadi atau salah memindahkan kode pengujian ke lingkungan produksi, sehingga mengubah brankas yang seharusnya tidak dapat dijelajahi menjadi target yang dapat dilacak.

Bagaimana membangun garis pertahanan yang kuat?

Seperti yang disebutkan di atas, kunci keamanan untuk dompet adalah apakah itu 'pseudo-random', selama menggunakan algoritma acak tingkat enkripsi yang sama seperti keamanan tingkat bank, yang membuatnya tidak dapat diprediksi, tidak dapat direproduksi, dan tidak dapat dibalikkan, maka aman tanpa kekhawatiran.

Perlu dicatat bahwa logika pembuatan kunci privat imToken telah sepenuhnya sumber terbuka sejak Oktober 2018 (repositori kode TokenCore), yang di Android dan iOS, secara langsung memanggil generator angka acak aman yang disediakan oleh sistem operasi.

Sebagai contoh iOS, entropi sistem berasal dari data statistik peristiwa kernel sistem selama periode waktu tertentu, termasuk input sentuh, gangguan CPU, jitter jam, kebisingan sensor, dan lain-lain — parameter ini berbeda setiap milidetik, bahkan sistem itu sendiri tidak dapat mereproduksinya.

Oleh karena itu, kunci privat yang dihasilkan oleh imToken memiliki karakteristik “tidak dapat diprediksi, tidak dapat direproduksi, tidak dapat dibalikkan”, yang menghilangkan risiko pseudo-acak dari tingkat sumber entropi, inilah alasan mendasar mengapa pengguna imToken tidak terpengaruh oleh kerentanan jenis kejadian Lubian.

Tentu saja, keamanan teknologi hanyalah dasar, untuk lebih memahami dan menghindari risiko keamanan, beberapa hal berikut juga sangat penting:

1. Prioritaskan penggunaan dompet non-kustodian yang telah terverifikasi oleh waktu dan komunitas, bersifat open-source dan telah diaudit (seperti imToken), pengguna yang memenuhi syarat sebaiknya mengutamakan penggunaan dompet perangkat keras (seperti imKey), untuk lebih mengisolasi risiko generasi kunci privat dan risiko jaringan.

Misalnya, untuk dompet perangkat keras imKey, keamanan acak lebih lanjut - kunci privatnya dihasilkan langsung oleh generator nomor acak fisik (True Random Number Generator, TRNG) yang ada di dalam chip keamanan. Chip keamanan Infineon SLE 78CLUFX5000PH (seri SLE78) telah mendapat sertifikasi tingkat BSI AIS 31 PTG.2 dari Jerman, yang merupakan standar untuk evaluasi keamanan tingkat tertinggi untuk sumber entropi fisik, yang mengharuskan sumber acak untuk menjalani pengujian statistik, pemodelan entropi, dan pemeriksaan kesehatan online, untuk memastikan kualitas acak yang digunakan dalam generasi kunci kriptografi.

Dengan kata lain, kunci pribadi imKey dihasilkan, disimpan, dan tidak pernah keluar dari batas chip yang aman, sumber acaknya berdasarkan kebisingan fisik, tidak bergantung pada perangkat lunak atau biji eksternal, yang berarti bahkan jika penyerang sepenuhnya menguasai sistem perangkat, mereka tidak dapat memprediksi atau mereproduksi kunci pribadi tersebut. 2. Selain itu, jangan menangkap layar, menyalin dan menempel, atau menyimpan frasa pemulihan atau kunci pribadi di cloud atau catatan obrolan, jangan pernah mengungkapkan frasa pemulihan atau kunci pribadi Anda kepada siapa pun; disarankan untuk menulis frasa pemulihan dengan tangan dan menyimpannya di lokasi offline yang aman, Anda dapat menggunakan pelat frasa pemulihan dari stainless steel yang tahan lembap, tahan api, dan tahan korosi, serta melakukan cadangan di setidaknya 2~3 lokasi aman. 3. Terakhir, waspadai phishing dan plugin berbahaya, kunci publik dapat dipublikasikan, tetapi saat mengakses dompet atau menandatangani, pastikan untuk memverifikasi tautan, hindari menginstal plugin atau Aplikasi dari sumber yang tidak dikenal di perangkat.

Kesimpulan

Secara objektif, dalam dunia Crypto yang glamor, setiap insiden keamanan besar adalah pelajaran pendidikan publik yang mahal.

Bisa dibilang, keamanan Web3 itu sendiri adalah perang jangka panjang yang berlomba dengan waktu dan bermain dengan probabilitas, kita tidak akan pernah bisa menghilangkan risiko sepenuhnya.

Tapi semua orang dapat membuat batas keamanan terus maju - setiap baris kode, setiap angka acak, setiap kebiasaan keamanan pengguna adalah garis pertahanan yang tak terpisahkan dalam perang ini.