Platform keamanan blockchain GoPlus merilis peringatan darurat pada 10 April, yang menyatakan bahwa terdapat kerentanan keamanan serius pada EngageLab SDK yang banyak digunakan untuk notifikasi push di Android. Kerentanan ini berdampak pada lebih dari 50 juta pengguna Android, di antaranya sekitar 30 juta adalah pengguna dompet mata uang kripto. Penyerang dapat memasang malware yang menyamar sebagai aplikasi yang sah pada perangkat korban, untuk mencuri kunci privat dompet kripto dan kredensial login.

Prinsip teknis kerentanan: rantai serangan lintas aplikasi yang dieksekusi secara senyap

(Sumber: GoPlus)

Cacat utama kerentanan ini adalah bahwa EngageLab SDK tidak melakukan verifikasi sumber yang memadai terhadap mekanisme komunikasi Intent di Android. Intent adalah mekanisme yang sah untuk saling bertukar perintah antar aplikasi di Android, namun implementasi EngageLab SDK memungkinkan perintah dari sumber yang tidak diotorisasi untuk melewati proses verifikasi normal, sehingga memicu aplikasi target menjalankan operasi sensitif.

Tiga langkah lengkap rantai serangan

Sisipan aplikasi berbahaya: Penyerang menyamarkan malware sebagai App yang sah, sehingga mendorong korban untuk menginstalnya pada perangkat Android yang sama

Suntikan Intent berbahaya: Aplikasi berbahaya mengirimkan Intent berbahaya yang dirancang dengan cermat kepada dompet kripto atau aplikasi keuangan yang telah mengintegrasikan EngageLab SDK pada perangkat yang sama

Eksekusi operasi tanpa izin (eskalasi hak): Setelah aplikasi target menerima Intent, aplikasi tersebut menjalankan operasi yang tidak diotorisasi tanpa sepengetahuan pengguna, termasuk pencurian kunci privat dompet, kredensial login, dan data sensitif lainnya

Bahaya terbesar dari rantai serangan ini terletak pada sifatnya yang senyap: korban tidak perlu melakukan tindakan apa pun. Selama perangkat memiliki aplikasi berbahaya dan aplikasi yang berisi versi EngageLab SDK yang rentan, serangan dapat diselesaikan di latar belakang.

Skala dampak: risiko kerugian aset yang tidak dapat dipulihkan bagi pengguna kripto

Karena EngageLab SDK adalah komponen dasar notifikasi push yang digunakan secara luas dan diintegrasikan ke dalam ribuan aplikasi Android, cakupan dampak kerentanan ini mencapai skala 50 juta perangkat. Di antaranya, sekitar 30 juta adalah pengguna dompet mata uang kripto.

Begitu kunci privat dompet kripto bocor, penyerang dapat sepenuhnya mengendalikan aset on-chain korban. Selain itu, sifat transaksi blockchain yang tidak dapat diubah berarti kerugian seperti ini hampir tidak mungkin dipulihkan, sehingga tingkat risikonya jauh melampaui insiden kebocoran data aplikasi pada umumnya.

Langkah penanganan darurat: daftar tindakan segera untuk pengembang dan pengguna

Rekomendasi keamanan per kelompok

Pengembang dan vendor aplikasi

· Segera verifikasi apakah produk mengintegrasikan EngageLab SDK, dan pastikan versi saat ini lebih rendah dari 4.5.5

· Tingkatkan ke EngageLab SDK 4.5.5 atau versi perbaikan resmi yang lebih tinggi (silakan lihat dokumen resmi EngageLab)

· Rilis ulang versi yang sudah diperbarui, dan beri tahu pengguna agar segera menyelesaikan pembaruan

Pengguna Android biasa

· Segera buka Google Play untuk memperbarui semua aplikasi, dengan prioritas menangani aplikasi dompet kripto dan aplikasi keuangan

· Tetap waspada terhadap aplikasi yang diunduh dari sumber yang tidak jelas atau jalur yang tidak resmi; hapus segera jika perlu

· Jika Anda mencurigai kunci privat sudah bocor, buat dompet baru di perangkat yang aman, pindahkan aset, dan nonaktifkan alamat lama secara permanen

Pertanyaan yang sering diajukan

Apa itu EngageLab SDK, dan mengapa diintegrasikan secara luas dalam dompet kripto?

EngageLab SDK adalah paket perangkat lunak pihak ketiga yang menyediakan fungsi notifikasi push untuk Android. Karena kemudahan saat di-deploy, banyak aplikasi mengadopsinya. Notifikasi push hampir merupakan fitur standar untuk semua aplikasi seluler, sehingga EngageLab SDK juga banyak ditemukan di dompet kripto dan aplikasi keuangan, yang pada akhirnya menyebabkan dampak kerentanan ini mencapai skala 50 juta pengguna.

Bagaimana cara memastikan apakah perangkat saya terdampak oleh kerentanan ini?

Jika perangkat Android Anda menginstal dompet kripto atau aplikasi keuangan, dan belum diperbarui ke versi terbaru, maka ada risiko terdampak. Disarankan untuk segera memperbarui semua aplikasi di Google Play Store. Pengembang dapat memverifikasi nomor versi SDK di dalam aplikasi untuk memastikan apakah mereka menggunakan EngageLab SDK versi yang lebih rendah dari 4.5.5.

Jika kunci privat sudah bocor, apa penanganan darurat yang harus dilakukan?

Segera buat alamat dompet baru di perangkat aman yang tidak terinfeksi, pindahkan semua aset dompet lama ke alamat baru tersebut, dan nonaktifkan alamat lama secara permanen. Lakukan perubahan serentak pada semua kata sandi login di platform terkait, dan aktifkan verifikasi dua langkah untuk akun guna menurunkan risiko terjadinya kompromi lebih lanjut.

Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke Penafian.

Artikel Terkait

Pendiri Curve Egorov Mengkritik Arsitektur DeFi Setelah $750M dalam Kerugian Tahun Ini

Regulasi & Kebijakan Insiden Keamanan

Pesan Gate News, 21 April — Para depositor DeFi menghadapi masalah penarikan selama akhir pekan di beberapa protokol utama termasuk Aave, rsETH, dan LayerZero, mendorong pendiri Curve Finance, Michael Egorov, untuk secara terbuka mengkritik pendekatan arsitektur industri tersebut. "Apakah kita industri badut?" Egorov

GateNews24menit yang lalu

Dewan Keamanan Arbitrum Membekukan 30.766 ETH dari Eksploit KelpDAO, 9 dari 12 Anggota Memilih Mendukung

ethereum news Geopolitik Tindakan Penegakan Hukum Insiden Keamanan

Arbitrum membekukan 30.766 ETH dari peretasan KelpDAO, bekerja sama dengan aparat penegak hukum, dan memulihkan sekitar seperempat aset, sambil mengunci dana hingga tata kelola (governance) berjalan di tengah perdebatan desentralisasi versus keamanan. Abstrak: Artikel ini melaporkan bahwa Dewan Keamanan Arbitrum membekukan 30.766 ETH (sekitar $70 juta) yang terkait dengan eksploit KelpDAO, dengan sembilan dari dua belas suara, serta memindahkan dana ke dompet yang aman berkoordinasi dengan aparat penegak hukum. Operasi ini menargetkan hanya aset yang terdampak untuk meminimalkan gangguan pada jaringan. Pelaku yang mengeksploitasi diduga berhubungan dengan DPRK. Kebobolan dimulai pada 18 April melalui jembatan LayerZero, menguras 116.500 rsETH (~$292 juta). Sekitar seperempat dari aset yang dicuri telah dipulihkan. Dana yang dibekukan akan tetap dikunci sampai governance dan otoritas hukum memutuskan langkah selanjutnya, memicu perdebatan tentang desentralisasi versus keamanan.

GateNews1jam yang lalu

Penipu Menyamar sebagai Otoritas Iran untuk Memeras Pemilik Kapal yang Terdampar dalam Bitcoin dan Tether

bitcoin news USDT news Geopolitik Insiden Keamanan Risiko Bursa

Pesan Berita Gerbang, 21 April — Pelaku tak dikenal mengirim pesan penipuan kepada perusahaan pelayaran dengan kapal yang terdampar di sebelah barat Selat Hormuz, mengklaim sebagai otoritas Iran dan menawarkan jalur aman sebagai imbalan biaya yang dibayarkan dalam Bitcoin atau Tether, menurut perusahaan risiko asal Yunani MARISKS. Pesan tersebut

GateNews1jam yang lalu

Pembaruan peristiwa Aave rsETH: Core V3 WETH dibekukan, lima cadangan pasar utama masih dibekukan

Perkembangan Proyek Insiden Keamanan

Aave pada 21 April mengumumkan di platform X bahwa cadangan WETH di pasar Ethereum Core V3 telah dibekukan kembali, sehingga pengguna dapat memasok ulang WETH ke Ethereum Core V3; nilai pinjaman WETH terhadap nilai jaminan (LTV) masih dipertahankan pada 0. Cadangan WETH di Ethereum Prime, Arbitrum, Base, Mantle, dan Linea tetap dibekukan.

MarketWhisper2jam yang lalu

Wanita Hong Kong Kehilangan 7,7 Juta HKD dalam Kripto Setelah Tergoda Penipuan Trading AI

Insiden Keamanan

Seorang wanita Hong Kong kehilangan 7,7 juta HKD kepada seorang penipu yang menyamar sebagai pakar investasi di Telegram, menjanjikan keuntungan tinggi dengan risiko rendah. Setelah mentransfer dana beberapa kali, ia tidak bisa menarik uangnya, sehingga terungkap penipuan tersebut. Polisi memperingatkan agar tidak terjebak penipuan seperti itu.

GateNews3jam yang lalu

Ice Open Network mengalami kebocoran data oleh orang dalam, setelah token ION anjlok, reorganisasi untuk bertahan hidup

Volatilitas Harga Perkembangan Proyek Acara Token Insiden Keamanan Risiko Bursa

Ice Open Network pada 20 April menulis di X, mengonfirmasi bahwa pada minggu lalu terjadi insiden kebocoran data. Penyebabnya adalah bahwa setelah hubungan bisnis dengan penyedia layanan pihak ketiga oleh empat orang rekan pendiri berakhir, mereka masih mengakses server eksternal, sehingga membocorkan alamat email pengguna, nomor telepon 2FA, dan data yang terkait dengan identitas. Latar belakang kejadian ini adalah: token ION telah anjlok 93% dua minggu sebelumnya, dan tim proyek sedang berada dalam masa reorganisasi darurat berskala besar.

MarketWhisper3jam yang lalu

Komentar

0/400

Tidak ada komentar