Potensi Kerentanan Keamanan OneWallet v1.0.6 dan v1.0.6.1

Ludi
2 min readNov 19, 2020

Pada tanggal 18 November sekitar jam 22:30 WIB, beberapa anggota komunitas kami melaporkan bahwa token ONE mereka ditransfer dari OneWallet mereka tanpa persetujuan mereka. Setelah mendapatkan pemberitahuan tersebut, tim kami segera mulai menyelidiki masalah tersebut dan kami menemukan bahwa semua token yang dicuri ditransfer ke alamat one1qclwtjg85cx4kfcxj3t284p908knldvfwk53ps. Ini berisi total 9 transaksi yang semuanya terjadi sekitar jam 8 — 9 malam pada tanggal 18 November. Berikut adalah detail alamat dan riwayat transaksinya.

Dari 9 transaksi (total 25.356.279 ONE) ke alamat penyerang, kami telah mencocokkan 5 di antaranya dengan 5 pengguna nyata berbeda yang token ONE-nya (6.745.217 ONE) dicuri. Pola umum dari semua pengguna ini adalah bahwa mereka semua menyimpan token mereka di OneWallet. Kami segera menggali basis kode OneWallet dan menemukan potensi kerentanan keamanan terkait dengan versi terbaru v1.0.6 dan v1.0.6.1. Masalahnya adalah dengan fitur yang baru ditambahkan untuk memudahkan pengguna dari keharusan memasukkan kata sandi berulang kali untuk setiap transaksi. Ini berisi potensi kerentanan keamanan di mana data kredensial pengguna disimpan di penyimpanan Chrome yang dapat dicuri jika komputer pengguna diretas. Kami juga memeriksa transaksi penyerang dan menyimpulkan bahwa itu bukan serangan terhadap chain kami. Blockchain Harmony bekerja dengan aman seperti yang diharapkan.

Kami segera mengembalikan fitur tersebut dan memasukkan versi aman v1.0.7 (yang sama dengan versi lama dan aman v1.0.5) ke Chrome Store. Sayangnya, dibutuhkan 1–2 hari bagi Chrome Store untuk meninjau dan memperbarui versi baru. Sebelum itu, kami akan merekomendasikan semua pengguna OneWallet untuk melakukan update ke versi aman v1.0.7 secara manual dengan:

  1. Ekspor private key Anda dari OneWallet saat ini kecuali Anda masih memiliki mnemonic aslinya.
  2. Unduh dan unzip file paket OneWallet v1.0.7
  3. Hapus OneWallet yang saat ini terinstal dari Chrome dengan mengeklik kanan ikon OneWallet dan pilih “Hapus dari Chrome…”
  4. Instal paket OneWallet v1.0.7 yang telah diunzip dengan mengeklik “More Tools” -> “Extensions” di menu Chrome, aktifkan Developer mode, klik “Load unpacked” dan pilih paket yang diunduh.
  5. Impor private key atau mnemonic yang diekspor dan tentukan sandi yang berbeda untuk akun tersebut.

Kami juga menyarankan untuk mentransfer token Anda ke alamat baru yang dibuat menggunakan versi OneWallet yang aman (v1.0.7) untuk mencegah masalah dengan data lama.

Keamanan dana pengguna kami adalah prioritas tertinggi dan kami mohon maaf atas kejadian ini. Kami bekerja sama dengan pengguna yang terdampak untuk mencegah masalah lebih lanjut. Untuk pengguna lain yang juga terdampak insiden ini, harap laporkan kasus Anda dalam formulir ini dan kami akan segera menghubungi Anda.

--

--