[INFO] Kelemahan MyEtherWallet, Cukup Acak Bisa Dapat Wallet

[tahmad]

Selamat sore agan-agan,

Maraknya kasus terjebolnya wallet ETH ERC20 memang jadi momok yang menakutkan bagi semua orang. Terutama untuk bounty hunters dan orang-orang yang fokusnya bermain di altcoin dan ICO.
Bagaimana kok bisa wallet kita terbobol? Dan paling jengkel, setiap token yang kita terima selalu langsung otomatis ke transfer ke wallet pelaku.

Ada beberapa kasus yang menyebabkan wallet kita terbobol, antara lain yaitu :

• Kesalahan kita saat isi form address, malah kita isi private-key wallet kita
  Kalau ini sih sudah harus ganti wallet menurutku, karena takutnya sudah kesimpan sama partisipan lainnya
• Kurangnya proteksi pada device, PC kita
  Kita sering kali meremehkan peranan anti-virus pada PC kita, padahal anti-virus adalah salah satu benteng paling ampuh selain firewall.
  Ya, dengan anti-virus yang selalu update, PC kita akan terpindai dan otomatis akan memberikan warning kepada kita jika ada file mencurigakan
• Sering login di smartphone teman
  Kasus ini mungkin jarang. Namun, hal ini patut jadi perhatian karena kita tidak tahu apa yang ada didalam smartphone teman kita. Bisa saja smartphone teman kita ini terjangkit malware, trojan yang paling sering. Sehingga data apapun yang kita input akan terekam dan terkirim ke pelaku. Ini juga berlaku ke PC
• Ikut airdrop yang gak sadar suruh masukin private-key
  Nah yang ini kemungkinan karena tergiur airdrop yang memberikan token dengan nilai yang fantastis hanya dengan isi form saja
• Dan lain-lain

Lah kalau kita merasa sudah mengantisipasi semua kesalahan diatas dan kita tidak merasa ikut-ikut aidrop kaya diatas, bagaimana dong? Kok masih bisa terbobol wallet saya?
Untuk kasus yang ini, kemungkinan adalah karena private-key kita tertebak oleh seseorang dan dia beruntung dapat wallet Anda.

Tebak bagaimana maksudnya gan?
Maksudnya adalah, pelaku melakukan aksi acak private-key kita sampai dia dapat wallet yang dirasa memiliki aset yang bernilai. Teknik ini lebih sering disebut Bruteforce.
Nah, kelemahan ini ada pada MyEtherWallet. Kita bisa acak private-key dan unlock wallet secara random.

Berikut saya coba jabarkan kelemahannya.

Pada saat kita ingin masuk ke wallet dan melakukan transaksi tentu kita harus punya private-key dan unlock dimari https://www.myetherwallet.com/#send-transaction. Dan kotak private-key akan berwarna hijau. Seperti gambar dibawah. Jika kotak berwarna hijau menandakan bahwa Private-key valid.


Ini adalah private-key saya. Private-key valid.


Jika private key tidak valid maka, kotak private-key akan berwarna merah. Seperti gambar dibawah ini.


Ini adalah private-key tidak valid


Saya unlock wallet saya dengan private-key saya yang valid. Tentu akan terbuka seperti gambar dibawah


Ini adalah wallet saya


Lalu kita coba acak 6 atau 5 kode paling belakang. Seperti gambar dibawah ini


Ini adalah private-key acak

Terlihat bahwa private-key tersebut valid. Saya coba klik unlock dan hasilnya adalah berikut. Wallet terbuka!


Ini adalah wallet hasil acak private-key

Nah terbukti bahwa wallet kita bisa terbobol hanya dengan mengacak private-key. Pengacakan private-key tidak hanya 6-5 digit paling belakang, namun bisa juga di tengah maupun di dep
Kasus inilah yang mungkin saat ini sedang marak terjadi.
Adanya kelemahan ini tentu saja membuat was-was kita. Semoga pihak MyEtherWallet segera menemukan solusi atas kasus ini.

Tetap be aware kawan.


Note : Saya tidak bermaksud menyebarkan tutorial bruteforce ini. Dan saya menyatakan tidak pernah berniat membobol wallet orang lain dengan methode ini.
Wallet acak yang saya posting disini hanyalah wallet percobaan, tidak ada asetnya, dan saya tidak menyimpan private-key tersebut

[1713888620]

1713888620

[coinmaster241]

wah bahaya juga gan kalau sampe kita jdi korban bruteforce, informasi yang bermanfaat sudah ingetin sya agar tetap waspada, susah juga cara menghindarkan hal tsb,
mungkin harusnya ada setting security khusus untuk private key MEW agar login pake private key tetap harus masukkan password / 2nd authentication sejenisnya agar double secure.

[Bougenvil]

Saya baru kepikiran sekarang gan, ngeri banget kalo misal hanya dengan mengacak private key bisa masuk wallet orang lain. Namun sebenrnya hal tersebut kita tidak bisa melakukan apa2 gan, karena itu bukan kesalahan kita sebagai pemilik wallet. Semoga saja wallet kita aman dari tindakan seperti itu

[vanesha]

Semakin tenarnya cryptocurrency maka akan semakin banyak petindak kriminal di dunia online akan berkeliaran.Jadi lebih baik berhati-hati untuk semua member bitcointalk.Tapi kalau menurut saya gan jaga baik-baik private key kita seaman-amannya,kalau masalah private key yang diacak di belakang,pasti tidak bisa juga log in apabila mereka tidak tau secara keseluruhan private key kita.

[arn1122]

Wah benar-benar sangat berbahaya gan jika semudah itu privatekey bisa diacak dan dengan mudahnya orang bisa mengambil semua aset yang kita punya.
Kalau hal seperti ini sangat sulit gan karena kita tidak bisa menjaga aset kita kecuali ada cara lain dari pihak MEW untuk membuat privatekey lebih aman dan tidak bisa di acak

[vialaptop]

wah bahaya juga gan kalau sampe kita jdi korban bruteforce, informasi yang bermanfaat sudah ingetin sya agar tetap waspada, susah juga cara menghindarkan hal tsb,
mungkin harusnya ada setting security khusus untuk private key MEW agar login pake private key tetap harus masukkan password / 2nd authentication sejenisnya agar double secure.

semua maunya juga yang berhutungan dengan wallet ada 2FA tapi kayaknya MEW belum menyediakan deh, kalau seperti MEW, etherdelta, idex dll cuma private key, kalau VIP bisa di tambahkan google autenticator supaya lebih aman

[Zahrowil Qolbi]

wah bisa juga ya salah masukin address malah keganti privat key, semoga saya enggak deh

[yehezkielrevandi]

wah makasih banyak gan , ane tidak sadar bahwa bisa melakukan dengan cara hal yang sesimpel itu cuma dengan otak menebak. lalu ini akan menjadi evaluasi my ether wallet karna terlalu sederhana untuk membobol wallet tersebut.  hmmm harus mencari opsi lain untuk mengamankan wallet .

[Hariyati Amin]

Terima kasih informasinya agan. Saya hanya ingin sedikit menambahkan untuk keamanan akun eth wallet gunakan file ekstensi seperti metamask atau hardware tambahan seperti trezor atau digibox.

[ARRCCO]

Menurut saya memang sangatlah berbahaya dengan mudahnya privatekey akan bisa di lacak atau dengan mudahnya atau dengan enaknya orang akan mengambil aset yang kita miliki.
Hal hal seperti ini sangat sulit karena kita tidak akan bisa untuk menjaga aset yang  kita miliki kecuali dengan cara lain dari pihak MEW akan membuat privatekey untuk lebih aman dan mungkin tidak akan pernah bisa di lacak.

[prokerduit]

wah bahaya juga gan kalau sampe kita jdi korban bruteforce, informasi yang bermanfaat sudah ingetin sya agar tetap waspada, susah juga cara menghindarkan hal tsb,
mungkin harusnya ada setting security khusus untuk private key MEW agar login pake private key tetap harus masukkan password / 2nd authentication sejenisnya agar double secure.

semua maunya juga yang berhutungan dengan wallet ada 2FA tapi kayaknya MEW belum menyediakan deh, kalau seperti MEW, etherdelta, idex dll cuma private key, kalau VIP bisa di tambahkan google autenticator supaya lebih aman

iya VIPBitcoin, okex, dan livecoin bisa di pake google authentic pake sms juga. terlebihnya saya engga tau market apalagi yang bisa di tambah authentic. jika saja myEtherWallet bisa di tambahkan Authenticator atau confirmasi desposit/withdrawl menggunakan email. menurut saya MyEtherWallet akan jadi wallet yang sangat luar biasa.

[Rangga27]

thanks informasinya toriq ahmad aka tamad, sangat bermaanfaat untuk kita, dan saya mau nanya bang  ada kah wallet salain di myether wallet yang lebih aman

[L9uard]

Terimakasih infonya gan sekarang saya jadi lebih teliti dan waspada terhadap tehnik bruteforce yang  mudah membobol ETH dengan cara mengacak privatekey

[Dewi89]

ane masih bingun pada acakan private keys gan, jadi kalau private kita sudah di ketahui sama aja gan untuk apa di acak lagi berupa angka di belakangnya
kalau private key kita simpan dengan aman ane rasa gak mungkin orang lain tahu private key kita gan

[TWW]

wew...ternyata MEW selama ini bisa digituin juga...klo udah ketahuan private key nya ya gk bisa diapa2 in tuh alias pasrah isinya dikuras orang lain...tapi ente share beginian juga sama aja pedang bermata dua gan...bisa munculin penjahat2 yg baru tahu...udah sifat manusia bgtu sih...apa bagusnya dihapus aja?lagian blm ada solusinya juga

[Bolopecah]

wew...ternyata MEW selama ini bisa digituin juga...klo udah ketahuan private key nya ya gk bisa diapa2 in tuh alias pasrah isinya dikuras orang lain...tapi ente share beginian juga sama aja pedang bermata dua gan...bisa munculin penjahat2 yg baru tahu...udah sifat manusia bgtu sih...apa bagusnya dihapus aja?lagian blm ada solusinya juga

ane barusan ngtest ini kelemahan mew di acak private keynya tapi udah nyoba beberapa kali hasilnya error ngak bisa masuk wkwkwkwkwkwk
sorry bukan niat ane mau jahat tapi cuma penasaran aja,,sekarang malah bingung masak iya pengembang mew ngak terpikirkan itu sebelum membuat mew

[ahmadinejad93]

Saya jamin myetherwallet kita aman jika menjaga private key dengan baik dan menurut saya pikir kalau main acak seperti itu kayaknya susah gan dapat wallet orang lain, yang ada error terus capek ngejar wallet orang 

[tahmad]

Saya jamin myetherwallet kita aman jika menjaga private key dengan baik dan menurut saya pikir kalau main acak seperti itu kayaknya susah gan dapat wallet orang lain, yang ada error terus capek ngejar wallet orang 

ane barusan ngtest ini kelemahan mew di acak private keynya tapi udah nyoba beberapa kali hasilnya error ngak bisa masuk wkwkwkwkwkwk
sorry bukan niat ane mau jahat tapi cuma penasaran aja,,sekarang malah bingung masak iya pengembang mew ngak terpikirkan itu sebelum membuat mew

Benar, tidak sekali duakali acak langsung dapat. Namun yang jadi kekhawatiran adalah methodenya. Orang bisa saja membuat program untuk melakukan pengacakan otomatis dan membruteforce MyEtherWallet secara otomatis dan masal.
Ini yang jadi poinnya gan. Semoga pihak developer ETH baik khususnya MyEtherWallet terlebih dahulu mampu menemukan solusi untuk mengantisipasi masalah ini.

[Garouse]

Saya jamin myetherwallet kita aman jika menjaga private key dengan baik dan menurut saya pikir kalau main acak seperti itu kayaknya susah gan dapat wallet orang lain, yang ada error terus capek ngejar wallet orang 

iya saya sangat setuju dengan pendapat anda karena saya sudah tau itu dari dulu gan tetapi selama saya mecoba tidak ada hasilnya karena di dalam walet yang saya acak private key nya pasti tidak ada isinya semua mungkin pihak myetherwallet sendiri sudah menemukan solusinya atau memang sudah di biyarkan karena tidak akan bisa mengacak private key dompet yang sudah terpakai atau yang sudah ada isinya

[watergold]

Bener gan cukup acak private key udah dapat wallet,tapi ngga mungkin wallet yang di acak ada saldonya atau udah dipake orang,kalo cara itu para hacker tau dari dulu dan logikanya kalau berhasil udah banyak yang kebobolan tuh myetherwallet