Topic: [ASK] Wallet exploit, penyebabnya? IDK (Read 128 times)

Sejauh yang saya pahami, SSL itu standar keamanan yang dimana berfugsi untuk mengenkripsi lalu lintas server dan client. itu tidak ada jaminannya bahwa sebuah website dengan SSL akan aman, karena untuk sekarang ini sangat mudah mendapatkan akses SSL. dan jawaban untuk pertanyaan agan, itu sebenarnya bisa sebuah aplikasi web mengekploitasi web ekstension dengan menggunakan API. anda bisa membaca penjelasan pada artikel berikut https://www.securityweek.com/websites-can-exploit-browser-extensions-steal-user-data/


sangat bisa sebuah ekstension bekerja untuk mencuri data-data pada perangkat pengguna karena bisa saja ekstensi ini disusupi oleh malware atau script yang dimana bekerja untuk meretas dan mengirimkannya kepada pengembang ekstensi ini. maka dari itu menginstall sebuah ekstensi web perlu hati-hati karena bisa saja itu malware.


sama seperti ekstensi web, aplikasi bajakan itu bisa saja disusupi oleh malware, spyware, ransomware, atau script yang dimana bekerja untuk meretas, menduplikasi, menghapus, atau menenkripsi data yang ada pada perangkat pengguna. karena itu menginstall aplikasi bajakan yang tidak terpercaya sumbernya juga sangat tidak disarankan karena kemungkinan perangkat anda untuk diretas itu sangat tinggi.

sejauh yang saya tahu aplikasi yang berada di appstore itu lebih secure dibandingkan dengan yang ada di playstore karena antara appstore dan playstore mempunyai pendekatan yang berbeda untuk bisa memverifikasi aplikasi yang diluncurkan oleh pengembang pada store mereka. namun bisa dikatan bahwa aplikasi-aplikasi yang ada pada store ini sudah secure, biarpun kemungkinan masih ada aplikasi malware yang bisa saja lolos namun itu kemungkinannya sangat kecil.

SSL certified itu ga ada hubungannya dengan keamanan isi situs, itu cuma menjamin kalau domain yang dituju bukan domain phising (terkait https), tinggal klik autossl doang udah dapet sertifikatnya. Kalau "not secure" dia protokol tidak pakai https, cuma http biasa data tidak dienkripsi.

Extension itu kita kasih permission tergantung mintanya apa, makanya jangan langsung next, dilihat dia minta permission apa.
Banyak permission yang bisa ngasih akses data sensitif.

Harusnya private key tidak dikirim via RPC dong, nanti yang dikirimkan data yang "sudah jadi." Proses signing setau ane dikomputasi lokal (CMIIW ilmu sudah menguap).
Yang biasanya terjadi adalah user sembangarangan ngasih permission di contract, yang pakai solusi revoke ntu

Sama terkait permission, malah ada yang bisa remote assitance/RDP jadi kompi kita diakses secara remote oleh attacker asalkan terkoneksi internet.

Sebelum listing app dilakukan due diligence tapi tentu saja manusia ga ada yang sempurna dan bisa luput, apalagi kalau karyawan Google/Apple kerjanya ga sepenuh hati. Tidak ada jaminan apps yang listing itu aman.

Kalau appsnya bener harusnya itu proses signing dilakukan secara lokal, data yang dikirim adalah yang "sudah jadi" sudah tidak bisa diekstrak lagi privkeynya.

Pertanyaan terkait extension, RPC, dan signed message itu senada, kalau app wallet dan dapp web3 yang digunakan malicious ya privkey agan tidak aman.

kakak ane juga kena masalah yang sama gan padahal awalnya di pake wallet tersebut aman aman aja pas dikirimin eth mayan gede sekitar 6 jutaan tiba tiba waktu bangun tidur hilang di kirim ke address yang sampe saat ini dia gak ngerti tapi penyebannya pun gak tau dari apa padahal dia sendiri gak pernah ane aneh palingan connect ke dapp itu cuman pancake swap dan uniswap aja

kalau lihat kek gini emang ngeri sih kemungkinan besar agan pernah approve smart contract coba cek di mari https://allowance.beefy.finance soalnya phising token sekarang ngeri ngeri dan scammer emang jadi tambah pintar lagi

dan untuk kedepannya mungkin agan harus consider pake 2 wallet kek ane 1 wallet buat utama hold dan satu buat ikutan airdrop dan bounty

Bisa.

Jangankan yang buruk, extension yang bagus pun bisa meretas semua isi PC sampeyan.

Entah mengapa masih ada yang menyimpan seed/private key dalam 1 PC untuk meremote, walau aman pun tetap saja jika terjadi kebocoran, data di PC yang berisi seed/private key akan ikut bocor.

Karena sudah diinject malware atau virus, kalau pun paham, source code yang developer kasih di github pun jarang ada yang tahu mana itu program yang telah diinjek malware mana yang bukan. Jadi sebaiknya, selagi saat ini di PC-nya masih make windows atau ada program yang masih Bajakan, sebaiknya tidak menginstall wallet apa pun di PC tersebut, lebih baik ubah dari windows ke Linux yang benar free lisensinya,

Selagi yang buat itu manusia, tidak ada yang aman,

Sign Message itu bisa dilakukan Offline, jadi aman dan tidak bakal mengekspos privkey, kecuali kalau dilakukan online, bisa jadi tidak aman.

Dan seed itu bukan untuk sign, yang digunakan untuk sign itu private key. Jadi kalau pun dilakukan online dan terekspose, hanya private key yang digunakan untuk sign yang terekspose, bukan seed.

Saya tidak tahu persis apakah wallet extension seperti yang agan maksud diatas bisa diexploit tidaknya oleh website bahkan yang sudah bersertifikat SSL. Dari yang saya baca, banyak juga website phishing yang memiliki Sertifikat SSL (https://sslindonesia.com/58-website-phising-berstatus-aman/)

Mengenai aplikasi bajakan, biasanya yang terselip semacam virus itu ada di aplikasi crack-nya, meskipun mungkin saja tidak semuanya 'berbahaya'.
Berikut ini salah satu contoh dan cara kerjanya: https://www.malwarebytes.com/blog/news/2022/08/kmspico-explained-no-kms-is-not-kill-microsoft

wallet pernah ter exploit? tapi masih belum ditemukan penyebabnya? ya, itu yang saya rasakan beberapa bulan terakhir, hingga saat ini masih menjadi misteri. saya korban kebobolan SEED / privkey ethereum dan yg kompatibel dg ethereum, EVM, L2 dan sejenisnya. Untuk kronologi, saat itu saya baru bangun tidur ada notif, tiba-tiba 90% aset udah pada out semua baik token / NFT di semua chain yg kompatibel dg ethereum. Damn it! hari apes emang gak ada di kalender. Masih baik ada beberapa aset yg bisa diselamatkan, sebelum privkey di import ke sweeper bot oleh si peretas. Btw, saya Degen maxi, punya 2 address utama dan sama2 di import ke wallet( metamask, trustwallet, tokenpocket ). untuk seed & privkey saya simpan di 3 device, 1 pc ‘windows’ dan 2 smartphone ‘android & IOS’ juga saya simpan di cloud. file di simpan tanpa enkripsi / keamanan tambahan. ada banyak wallet Extension yang saya install di web browser. aneh nya hanya 1 wallet address saja yang ter exploit.

saya menyadari ini murni kesalahan saya, karena gak aware dengan low security management. saving files seed tanpa di enkripsi dan device selalu terkoneksi dg internet, menyimpan seed di cloud. terlalu banyak extension yang saya install tanpa nge cek reputasi developer, ada beberapa aplikasi bajakan di PC saya. Join Airdrop, testnet dan sejenisnya tanpa riset.

udah banyak yang terjadi, bahkan teman saya baru sepekan yang lalu, create new address via ImToken apk(official playstore), selang sehari kemudian balance $x000 lenyap dan beberapa wallet address lainya juga ter exploit hanya tersisakan 1 addres yang aman.

kita fokus ke topik “Wallet ter Exploitasi”. baik itu dari segi ancaman virus / low security, ataupun human error. jika kita lengah, gak ada sistem yang aman btw, dan mungkin bisa terjadi ke wallet apa saja yg kita miliki. Note: Bukan bahas hardware wallet yaa hehe, karena gak berlaku untuk people degen seperti saya.

degen = “action first, research later”

[ASK] Ancaman Virus / Low security

Bisakah sebuah website ‘SSL certificated’ maupun yang ‘Not secure’ meng exploit wallet extension?
extension dengan reputasi yang buruk, bisa meretas keamanan wallet extension yang lain?
RPC end-point provider yang tidak familiar dapat membocorkan seed / private key?
aplikasi bajakan, bagaimana itu bisa terjadi mengambil / mengobrak abrik file yang ada di PC ?
Aplikasi di playstore belum tentu secure? di Appstore juga kah?
sign message function, bisakah mengekspos privkey / seed?

Human error

gak ada yg perlu di jelaskan / di pertanyakan, kalau sering bermain-main dengan seed / privkey tinggal nunggu waktu. hehe


yang udah terlanjur wallet address sudah ke exploit, Forget it! & create a new wallet! belajar dari kesalahan, aware dg security management & tetap semangat, start again!
Jika masih ada aset yang di lock, entah staking atau claim token pada waktu yang ditentukan. dan wallet address udah terpasang sweeper bot oleh peretas. Solusinya, jika jago IT buat sendiri script untuk mengalahkan sweeper bot. atau mungkin 0% knowledge programming? cari orang trusted, jago solidity .etc! dan sesuai dg aset yang mau diambil. bisa juga menggunakan jasa flashbot(whitehat) please DYOR karena whitehat akan meminta privkey dan ada potongan x% fee aset yang mau diambil. note: semua solusi itu chance 50/50. karena bot vs bot, gak ada harapan jika melakukan secara manual. jangan tergesa gesa men judge seed/privkey ke exploit, bisa saja hanya ke drained / smart contract manipulation. Cukup Revoke, Done!


mohon pencerahannya, saya selaku gambler & degen maxi .. XD


*jika saya merasa menemukan jawaban yang pas, thread ini saya lock! karena sudah ada thread seputar phising malware dkk