[!] Wallet yang dibuat Tool BX - Libbitcoin Bitcoin Explorer sudah tidak aman

[Husna QA]

Berdasarkan informasi terusan yang saya baca dari postingan cygan disini: [WARNING] Wallets created with Libbitcoin Explorer (bx) are insecure! yang mengutip tweet David A. Harding:


https://twitter.com/hrdng/status/1689022029142560771

Bagi yang masih menggunakannya karena misalkan merujuk pada buku Mastering Bitcoin karya Andreas Antonopoulos harap berhati-hati terutama perihal keamanannya yang saat ini sudah beresiko jika digunakan (kecuali jika kedepannya ada update terbaru yang sudah diperbaiki).



Pada salah satu buku rujukan (dalam Bahasa Indonesia) yang pernah saya baca, Libbitcoin juga dijadikan rujukan tool utama pada pembahasan tentang Bitcoin Scripting:

 
Edit

Informasi lebih lanjut perihal kerentanan Libbitcoin bisa dibaca disini: https://milksad.info/
Beberapa referensi lainnya untuk perbandingan:

- https://github.com/libbitcoin/libbitcoin-explorer/blob/20eba4db9a8a3476949d6fd08a589abda7fde3e3/src/commands/seed.cpp#L44
- https://github.com/libbitcoin/libbitcoin-explorer/blob/20eba4db9a8a3476949d6fd08a589abda7fde3e3/src/utility.cpp#L78
- https://github.com/libbitcoin/libbitcoin-system/blob/a1b777fc51d9c04e0c7a1dec5cc746b82a6afe64/src/crypto/pseudo_random.cpp#L66C12-L78
- https://milksad.info/disclosure.html
- https://news.ycombinator.com/item?id=37054862

[1714895337]

1714895337

[1714895337]

1714895337

[1714895337]

1714895337

[aylabadia05]

@gmaxwell juga ikut berkomentar mengenai masalah "bx seed" dengan membuat thread sendiri dan menanggapi pada topik diskusi yang dibuat oleh cygan yang merupakan sumber informasi pada topik ini.

Sebelumnya saya tidak tahu tentang wallet yang dibuat dengan Libbitcoin explore ini, karena informasi ini mengundang saya untuk mencari tahu masalah yang terjadi.
Yang dikatakan oleh gmaxwell sangat benar dan menjadi pengingat untuk semua bahwa tidak baik menggunakan wallet yang awalnya sumber tertutup yang berubah menjadi sumber terbuka^[1].
Kalau saya tidak salah mengartikan apa yang dikatakan gmaxwell pada topik yang dibuatnya bahwa ada unsur kesengajaan yang dilakukan dalam masalah ini^[2].

"Pada versi Libbitcoin Explorer 3.x, bx seed menggunakan generator nomor pseudorandom Mersenne Twister (PRNG) diinisialisasi dengan 32 bit waktu sistem."
Itu kesalahan amatir yang harus dilakukan. 50/50 kemungkinan apakah itu ketidakmampuan atau penipuan yang disengaja. Mungkin 80/20; cacat itu sangat sederhana sehingga siapa pun dapat menyerangnya. Yang tampaknya sedang terjadi sekarang. Jauh lebih baik jika perpustakaan crypto Anda menghasilkan kunci hanya Anda yang bisa meretas.

1. https://bitcointalk.org/index.php?topic=5462652.msg62672463#msg62672463
2. https://bitcointalk.org/index.php?topic=5462674.0

[ABCbits]

Yang dikatakan oleh gmaxwell sangat benar dan menjadi pengingat untuk semua bahwa tidak baik menggunakan wallet yang awalnya sumber tertutup yang berubah menjadi sumber terbuka^[1].

Anda salah mengartikan perkataan gmaxwell. Yang dimaksud adalah,
1. Untuk tidak menggunakan wallet closed source.
2. Wallet open source bukan berarti ada jaminan keamanan.

[Husna QA]

Yang dikatakan oleh gmaxwell sangat benar dan menjadi pengingat untuk semua bahwa tidak baik menggunakan wallet yang awalnya sumber tertutup yang berubah menjadi sumber terbuka^[1].

Pernyataan gmaxwell yang ini kan:

You should never have used any closed source wallet-- but being open source is not enough.

Sebelumnya saya sudah membaca juga postingan tersebut; Coba agan aylabadia05 telaah lagi kalimatnya.

Senada dengan om ETF, saya memahaminya wallet apapun termasuk dalam kasus kali ini yang menyangkut Libbitcoin, meskipun open source kerentanan terhadap keamanannya tetaplah ada, jadi tidak cukup hanya karena sudah open source lantas merasa aman begitu saja.

Dari literatur yang pernah saya baca (termasuk salah satunya dari buku yang saya cantumkan screenshot-nya di OP), Libbitcoin-Bitcoin Explorer (BX) itu ketika dikembangkan oleh Eric Voskuil sudah opensource (https://github.com/libbitcoin/libbitcoin-explorer/wiki).

[Chikito]

Pada salah satu buku rujukan (dalam Bahasa Indonesia) yang pernah saya baca, Libbitcoin juga dijadikan rujukan tool utama pada pembahasan tentang Bitcoin Scripting:

Mungkin penulis buku bisa membuat atau menerbitkan ulang dari buku lama tersebut, dan memberikan warning untuk pembaca. Karena saya baca, beberapa serangan tersebut sangat rentan sekali, apalagi celah "Milk Sad" ini telah membuat sekitar 9 BTC hilang di dompet seseorang.  Libbitcoin itu sendiri memang memiliki mekanisme pembangkitan kunci yang cacat, yang memungkinkan kunci pribadi ditebak oleh penyerang [1].

Namun ya tidak berdampak begitu besar terhadap dompet yang dominan dipakai oleh bitcoiner seperti electrum, bitcoin core, atau hardware wallet. Saya baca Libbitcoin ini hanya dipakai pada dompet seperti: Airbitz, dan aplikasi pengembang altcoin seperti Bitprim Project dan Blockchain Commons.

[1]. https://voi.id/teknologi/300808/kerentanan-baru-dalam-libbitcoin-explorer-3-x-memungkinkan-pencurian-lebih-dari-rp13-5-miliar-dari-pengguna-bitcoin

[Husna QA]

Mungkin penulis buku bisa membuat atau menerbitkan ulang dari buku lama tersebut, dan memberikan warning untuk pembaca. Karena saya baca, beberapa serangan tersebut sangat rentan sekali, apalagi celah "Milk Sad" ini telah membuat sekitar 9 BTC hilang di dompet seseorang.  Libbitcoin itu sendiri memang memiliki mekanisme pembangkitan kunci yang cacat, yang memungkinkan kunci pribadi ditebak oleh penyerang [1]. -snip-

Informasi yang berkaitan dengan teknologi biasanya memang perlu di-update secara reguler; Bisa jadi yang sebelumnya aman, sekarang sudah tidak aman lagi karena ada celah yang baru ditemukan kemudian seperti pada contoh kasus Libbitcoin.

Untuk literatur dalam bentuk tulisan digital semisal di Website atau eBook, ketika ada update cenderung lebih mudah dan bisa lebih cepat prosesnya; Berbeda dengan literatur dalam bentuk cetak, proses dan biaya produksinya bisa lebih tinggi dan waktu yang lama hingga sampai ke user.

btw, dulu saya sempat mencari tahu akun penulis buku tersebut, ketemu juga meskipun tidak terlalu aktif (last active June 04, 2020); Lebih banyak post di Development & Technical Discussion dan beberapa kali sempat post di sub Indonesia.

Untuk pelengkap tulisannya saya lihat lebih sering update di website-nya https://kriptologi.com/.
Dan mengenai Libbitcoin-BX saya sudah coba mengirimi pesan melalui fitur 'Kontak' yang ada di website tersebut perihal informasi di https://milksad.info/.