Platform keamanan blockchain GoPlus merilis peringatan darurat pada 10 April, yang menyatakan bahwa terdapat kerentanan keamanan serius pada EngageLab SDK yang banyak digunakan untuk notifikasi push di Android. Kerentanan ini berdampak pada lebih dari 50 juta pengguna Android, di antaranya sekitar 30 juta adalah pengguna dompet mata uang kripto. Penyerang dapat memasang malware yang menyamar sebagai aplikasi yang sah pada perangkat korban, untuk mencuri kunci privat dompet kripto dan kredensial login.

Prinsip teknis kerentanan: rantai serangan lintas aplikasi yang dieksekusi secara senyap

(Sumber: GoPlus)

Cacat utama kerentanan ini adalah bahwa EngageLab SDK tidak melakukan verifikasi sumber yang memadai terhadap mekanisme komunikasi Intent di Android. Intent adalah mekanisme yang sah untuk saling bertukar perintah antar aplikasi di Android, namun implementasi EngageLab SDK memungkinkan perintah dari sumber yang tidak diotorisasi untuk melewati proses verifikasi normal, sehingga memicu aplikasi target menjalankan operasi sensitif.

Tiga langkah lengkap rantai serangan

Sisipan aplikasi berbahaya: Penyerang menyamarkan malware sebagai App yang sah, sehingga mendorong korban untuk menginstalnya pada perangkat Android yang sama

Suntikan Intent berbahaya: Aplikasi berbahaya mengirimkan Intent berbahaya yang dirancang dengan cermat kepada dompet kripto atau aplikasi keuangan yang telah mengintegrasikan EngageLab SDK pada perangkat yang sama

Eksekusi operasi tanpa izin (eskalasi hak): Setelah aplikasi target menerima Intent, aplikasi tersebut menjalankan operasi yang tidak diotorisasi tanpa sepengetahuan pengguna, termasuk pencurian kunci privat dompet, kredensial login, dan data sensitif lainnya

Bahaya terbesar dari rantai serangan ini terletak pada sifatnya yang senyap: korban tidak perlu melakukan tindakan apa pun. Selama perangkat memiliki aplikasi berbahaya dan aplikasi yang berisi versi EngageLab SDK yang rentan, serangan dapat diselesaikan di latar belakang.

Skala dampak: risiko kerugian aset yang tidak dapat dipulihkan bagi pengguna kripto

Karena EngageLab SDK adalah komponen dasar notifikasi push yang digunakan secara luas dan diintegrasikan ke dalam ribuan aplikasi Android, cakupan dampak kerentanan ini mencapai skala 50 juta perangkat. Di antaranya, sekitar 30 juta adalah pengguna dompet mata uang kripto.

Begitu kunci privat dompet kripto bocor, penyerang dapat sepenuhnya mengendalikan aset on-chain korban. Selain itu, sifat transaksi blockchain yang tidak dapat diubah berarti kerugian seperti ini hampir tidak mungkin dipulihkan, sehingga tingkat risikonya jauh melampaui insiden kebocoran data aplikasi pada umumnya.

Langkah penanganan darurat: daftar tindakan segera untuk pengembang dan pengguna

Rekomendasi keamanan per kelompok

Pengembang dan vendor aplikasi

· Segera verifikasi apakah produk mengintegrasikan EngageLab SDK, dan pastikan versi saat ini lebih rendah dari 4.5.5

· Tingkatkan ke EngageLab SDK 4.5.5 atau versi perbaikan resmi yang lebih tinggi (silakan lihat dokumen resmi EngageLab)

· Rilis ulang versi yang sudah diperbarui, dan beri tahu pengguna agar segera menyelesaikan pembaruan

Pengguna Android biasa

· Segera buka Google Play untuk memperbarui semua aplikasi, dengan prioritas menangani aplikasi dompet kripto dan aplikasi keuangan

· Tetap waspada terhadap aplikasi yang diunduh dari sumber yang tidak jelas atau jalur yang tidak resmi; hapus segera jika perlu

· Jika Anda mencurigai kunci privat sudah bocor, buat dompet baru di perangkat yang aman, pindahkan aset, dan nonaktifkan alamat lama secara permanen

Pertanyaan yang sering diajukan

Apa itu EngageLab SDK, dan mengapa diintegrasikan secara luas dalam dompet kripto?

EngageLab SDK adalah paket perangkat lunak pihak ketiga yang menyediakan fungsi notifikasi push untuk Android. Karena kemudahan saat di-deploy, banyak aplikasi mengadopsinya. Notifikasi push hampir merupakan fitur standar untuk semua aplikasi seluler, sehingga EngageLab SDK juga banyak ditemukan di dompet kripto dan aplikasi keuangan, yang pada akhirnya menyebabkan dampak kerentanan ini mencapai skala 50 juta pengguna.

Bagaimana cara memastikan apakah perangkat saya terdampak oleh kerentanan ini?

Jika perangkat Android Anda menginstal dompet kripto atau aplikasi keuangan, dan belum diperbarui ke versi terbaru, maka ada risiko terdampak. Disarankan untuk segera memperbarui semua aplikasi di Google Play Store. Pengembang dapat memverifikasi nomor versi SDK di dalam aplikasi untuk memastikan apakah mereka menggunakan EngageLab SDK versi yang lebih rendah dari 4.5.5.

Jika kunci privat sudah bocor, apa penanganan darurat yang harus dilakukan?

Segera buat alamat dompet baru di perangkat aman yang tidak terinfeksi, pindahkan semua aset dompet lama ke alamat baru tersebut, dan nonaktifkan alamat lama secara permanen. Lakukan perubahan serentak pada semua kata sandi login di platform terkait, dan aktifkan verifikasi dua langkah untuk akun guna menurunkan risiko terjadinya kompromi lebih lanjut.

Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke Penafian.

Artikel Terkait

Penelitian Mengungkap: Pemain Polymarket 3% meraih keuntungan hingga 30%, lebih dari 70% pemain menyerap seluruh kerugian

Pasar Prediksi Tindakan Penegakan Hukum Insiden Keamanan

Studi penelitian baru menganalisis catatan transaksi Polymarket 2023–2025, yang menunjukkan hanya 3,14% dari para pemenang yang terampil menguasai lebih dari 30% dari keuntungan; kontribusi kerumunan tidak cukup untuk menjelaskan akurasi keseluruhan. Sementara itu, melacak 1.950 akun perdagangan orang dalam yang sangat mencurigakan; meskipun tidak memimpin prediksi, mereka memperbesar volatilitas harga. Kasus ini menunjukkan bahwa di AS, sebelum pengumuman mengenai perkembangan Venezuela diumumkan, dilakukan taruhan besar dan memperoleh keuntungan. Penelitian ini mempertanyakan kebijaksanaan kerumunan, dan menekankan perlunya regulasi yang semakin ketat.

ChainNewsAbmedia31menit yang lalu

Prancis 2026, investor kripto menjadi korban penculikan lebih dari 40 kasus, terkait kebocoran data perpajakan

Geopolitik Tindakan Penegakan Hukum Insiden Keamanan

Menurut Market Forces Africa pada 27 April, insiden penculikan dan serangan kekerasan terhadap investor kripto di Prancis meningkat tajam. Pendiri Telegram Pavel Durov menyebut di platform X bahwa sejak awal 2026, ia telah mencatat 41 kasus penculikan investor kripto, rata-rata terjadi satu kali setiap 2,5 hari, serta terkait dengan kebocoran data pajak Prancis.

MarketWhisper48menit yang lalu

Petugas keamanan jaringan dari Hubei meraih penghargaan kelas dua, menuntaskan kasus pencurian mata uang virtual senilai “ratusan juta yuan” pertama di seluruh provinsi dalam 70 hari

Tindakan Penegakan Hukum Insiden Keamanan

Menurut laporan Hubei Daily pada 27 April, polisi di Brigade Siber Biro Keamanan Publik Distrik Qingshan, Kota Wuhan, Guo Tingyu baru-baru ini dianugerahi Penghargaan Kinerja Pribadi Tingkat Dua. Guo Tingyu lulus dari Universitas Sains dan Teknologi Huazhong jurusan komputer, pada tahun 2023 lulus ujian penerimaan pegawai negeri dan masuk kepolisian, pada awal 2024 mengambil alih kasus pencurian mata uang virtual pertama di seluruh Provinsi Hubei, menyelesaikannya selama hampir 70 hari penyelidikan, dengan nilai dana yang terlibat lebih dari 1 miliar yuan; 5 orang tersangka semuanya dikenai sanksi menurut hukum.

MarketWhisper1jam yang lalu

Litecoin Melakukan Reorganisasi Rantai Mendalam untuk Membatalkan Eksploit Lapisan Privasi MWEB

Tindakan Penegakan Hukum Insiden Keamanan

Berita Gate, 27 April — Litecoin mengalami reorganisasi rantai yang mendalam pada Sabtu (26 April) setelah penyerang mengeksploitasi kerentanan zero-day pada lapisan privasi MimbleWimble Extension Block (MWEB), demikian diumumkan oleh Litecoin Foundation. Reorg tersebut mencakup blok 3.095.930 hingga 3.095.943 dan

GateNews1jam yang lalu

Tiongkok Membongkar Sindikat Pencurian Mata Uang Kripto Bernilai Lebih dari $140 Juta, Menangkap 5 Tersangka

Tindakan Penegakan Hukum Insiden Keamanan

Berita Gate, 27 April — Sebuah unit kejahatan siber di Wuhan, Provinsi Hubei, Tiongkok, telah membongkar sindikat pencurian mata uang kripto yang melibatkan aplikasi dompet palsu, dengan penyelidikan yang mengungkap lebih dari 100 juta yuan (sekitar $14 juta) dalam hasil kejahatan. Lima tersangka telah

GateNews1jam yang lalu

Kontrak V2 yang ditinggalkan Scallop dimanfaatkan, setelah 150.000 koin SUI dicuri diumumkan kompensasi penuh

Perkembangan Proyek Insiden Keamanan

Protokol pinjaman terdesentralisasi Sui Network Scallop pada 26 April (hari Minggu) melalui platform X menerbitkan pengumuman resmi, mengonfirmasi bahwa mereka mengalami serangan celah (vulnerability). Pelaku mengambil sekitar 150.000 token SUI dari kontrak hadiah yang terbengkalai yang terkait dengan sSUI spool. Berdasarkan pernyataan resmi, kumpulan dana inti dan simpanan pengguna tidak terpengaruh, protokol telah memulihkan penarikan dan penyetoran, dan menegaskan bahwa semua kerugian akan sepenuhnya dikompensasikan menggunakan dana perusahaan.

MarketWhisper3jam yang lalu

Komentar

0/400

Tidak ada komentar