Pencurian koin sering terjadi. Apa yang perlu kita ketahui tentang perlindungan aset kripto?
Bagaimana cara mengidentifikasi alamat dompet palsu? Mengapa dompet dingin masih berisiko diretas? Bagaimana serangan ini terjadi? Orang seperti apa yang menjadi target peretas? Bagaimana cara menghindari masalah seperti itu?
Baru-baru ini, Web3 sering mengalami pencurian koin, terutama insiden pencurian 1.155 WBTC yang banyak disaksikan, yang telah menarik perhatian publik yang luas. Perlindungan aset terenkripsi juga menjadi fokus perhatian semua orang. Menanggapi insiden ini, PoPP dan OneKey bersama-sama mengadakan Space untuk berbagi dengan komunitas tentang masalah keamanan on-chain, yang penuh dengan informasi praktis dan memberikan pelajaran sains populer bagi pendatang baru yang kurang menyadari pencegahan.
Tamu:
- Kepala Teknisi PoPP: Neo
- Kepala OneKey Eco: Cavin
Pembawa acara: JY
Ruang ini terutama membahas isu-isu berikut:
1. Bagaimana cara mengidentifikasi alamat dompet palsu?
2. Mana yang lebih aman, menyimpan Kripto di bursa atau di dompet?
3. Mengapa dompet dingin masih berisiko diretas? Bagaimana serangan ini terjadi?
4. Orang seperti apa yang akan menjadi target peretas? Bagaimana cara menghindari jebakan perdagangan/bagikan pengalaman Anda?
5. Saat ini, PoPP telah menarik banyak pengguna. Bagaimana cara PoPP memastikan keamanan aset?
1. Bagaimana cara mengidentifikasi alamat dompet palsu?
Mengenai cara mengidentifikasi alamat dompet palsu, Cavin menyebutkan dua metode. Yang pertama adalah dengan memeriksa setiap angka dan huruf dengan saksama saat mentransfer uang untuk menghindari pemalsuan. Kedua, dompet perangkat lunak arus utama saat ini memiliki fungsi pustaka alamat ini, termasuk OKX dan OneKey Classic. Anda dapat memasukkan alamat yang sering Anda gunakan di pustaka alamat ini untuk memilih alamat yang benar dengan cepat. Ingatkan semua orang untuk memastikan bahwa lingkungan aman sebelum mentransfer uang dan hindari menyalin alamat dari catatan transaksi.
Neo menambahkan beberapa hal lain dalam sharing-nya. Neo menceritakan seorang developer di timnya yang tidak pernah percaya pada hot wallet. Dia hanya menggunakan node wallet miliknya sendiri untuk mentransfer semua dana dan mengendalikannya dengan mini bank. Tentu saja, orang awam seperti kita tidak dapat melakukan ini. Orang awam dapat mengambil tindakan pencegahan dari 4 aspek berikut:
- a. Pertama, pastikan lingkungan yang aman, termasuk jaringan, VPN, telepon seluler, dan lingkungan komputer.
- b. Kedua, pilih perangkat yang aman, seperti perangkat Apple atau dompet perangkat keras.
- Tidak diragukan lagi bahwa perangkat Apple relatif aman, dan ada beberapa dompet perangkat keras. Ketika kita harus menginstal perangkat lunak lain di Android, disarankan untuk menggunakan satu atau dua dompet utama. Jika Anda perlu mengimpor mnemonik secara berkala, hindari penggunaan pasteboard. Ingatkan semua orang untuk tidak mengunduh terlalu banyak dompet, dan hanya memperbaruinya di APP.
- c. Selain itu, biasakan melakukan transfer uji coba kecil-kecilan sebelum mengonfirmasi transaksi. Sebaiknya Anda mentransfer uang ke pihak lain dengan memindai kode, dan saling mengonfirmasi sebelum dan sesudah transfer.
- d. Terakhir, periksa browser blockchain untuk mengonfirmasi detail transfer setelah setiap transfer.
- Jika Anda menemukan bahwa jumlahnya salah atau alamat tujuan salah, Anda masih dapat segera mengambil tindakan perbaikan. Anda juga dapat segera memulai transaksi baru dengan biaya gas yang lebih tinggi untuk mengimbangi transaksi Anda sebelumnya. Anda masih dapat memulihkannya, tetapi jika Anda berhasil mentransfer uang atau mengklik perangkat lunak phishing, mungkin tidak ada yang dapat Anda lakukan.
2. Apakah lebih aman menyimpan kripto di bursa atau di dompet?
Tuan rumah JY:
Terima kasih kepada Neo dan Cavin atas informasinya. Saya ingin bertanya, mana yang lebih aman, bursa atau dompet?
Cavin:
Dari perspektif tingkat keamanan, dompet perangkat keras memiliki tingkat keamanan tertinggi. Meskipun ambang batas penggunaan dompet perangkat keras dan tingkat kesulitan pengoperasiannya lebih tinggi daripada dompet panas, dompet ini tidak senyaman dompet panas.
Bursa dan dompet panas kurang aman, tetapi sangat praktis. Sebaiknya Anda menaruh sebagian dana Anda di bursa yang andal, seperti Binance atau OKX. Tidak akan ada masalah besar dalam jangka pendek, tetapi Anda tidak dapat sepenuhnya mempercayai mereka.
Disarankan untuk menempatkan sejumlah dana di bursa yang andal, tetapi jangan terlalu banyak. Untuk protokol yang tidak umum, dompet panas baru dapat digunakan untuk manajemen yang terisolasi.
Baru:
Pada tingkat teknis, keselamatan selalu relatif. Tidak ada keselamatan yang mutlak; ini hanya masalah biaya.
dompet:
Jika Anda menyimpannya di dompet dan tidak menyentuh Internet, maka relatif aman. Namun, setelah Anda berinteraksi dengan dApps lain dan sering menautkannya, indeks keamanan Anda akan terus menurun dalam prosesnya.
Menukarkan:
Kripto relatif lebih aman di bursa daripada dompet panas. Tidak ada satu titik kegagalan pun di bursa. Anda tidak akan kehilangan aset saat berdagang, membeli, menjual, atau mentransfer. Dan keuntungan yang dapat diberikan bursa adalah kemampuan untuk memberi kompensasi. Bahkan jika Anda kehilangan uang di bursa, bursa dapat memberi kompensasi kepada Anda.
Moderator JY: Misalnya, dompet saya memiliki banyak interaksi dan otorisasi. Ketika saya menyelesaikan penjualan NFT, dapatkah saya membatalkan otorisasi sebelumnya?
Cavin: Ya. Jika Anda tidak memiliki kebiasaan untuk memeriksa secara berkala apakah otorisasi kontrak telah dibatalkan, risikonya akan meningkat secara bertahap.
3. Mengapa dompet dingin masih berisiko diretas? Bagaimana serangan ini terjadi?
Tuan rumah JY:
Oke. Saya punya teman yang kehilangan 1,26 juta USDT saat ia memperdagangkan dana dari OKX ke dompet OKX. Staf mengatakan bahwa dana tersebut dapat dibekukan selama dua jam, tetapi kemudian ia menyebutkan bahwa uangnya sebelumnya berada di dompet dingin. Mengapa masih ada risiko dompet dingin diretas? Bagaimana serangan ini terjadi?
Cavin:
Saya rasa ini tidak ada hubungannya dengan dompet dingin, dan mungkin ada masalah selama transfer dana. Dompet perangkat keras biasanya memastikan keamanan dengan menyimpan kunci pribadi atau mnemonik di dalam chip. Namun, saat menggunakan dompet perangkat keras, Anda harus terhubung ke Internet, dan kunci pribadi disimpan dalam cache browser atau berkas data, sehingga rentan terhadap serangan peretas.
Dompet perangkat keras harus digunakan bersama dengan dompet perangkat lunak. Proses penandatanganan diselesaikan pada dompet perangkat keras, dan kunci pribadi Anda tidak akan pernah menyentuh Internet.
Faktanya, proses ini ditransfer ke perangkat fisik. Perangkat tersebut sebenarnya memiliki chip yang aman (Secure). Penandatanganan diselesaikan dengan menggunakan kunci pribadi dalam chip. Setelah penandatanganan, tanda tangan akan diteruskan ke dompet perangkat lunak. Setelah dompet perangkat lunak mendapatkan dompet, ia akan mengirimkan transaksi ke rantai. Jadi, proses penandatanganan diselesaikan pada dompet perangkat keras tanpa Anda terhubung ke Internet.
Jika dompet perangkat keras hilang, Anda hanya perlu mengimpor frasa mnemonik ke dompet perangkat keras baru. Namun, ada risiko serangan rekayasa sosial, dan peretas dapat memperoleh kode pembuka dompet untuk mencuri aset.
Prinsip desain dompet perangkat keras adalah menambahkan konfirmasi kedua selama proses penandatanganan transaksi untuk meningkatkan keamanan. Serangan rantai pasokan dan serangan internal juga berisiko, jadi sebaiknya beli dompet perangkat keras sumber terbuka. Dengan premis memastikan bahwa dompet perangkat keras tidak dirusak, bahkan jika dompet perangkat keras hilang, asetnya tetap aman.
Tuan rumah JY:
Meskipun dompet perangkat keras memerlukan tanda tangan daring, dompet tersebut tidak sepenuhnya aman. Bagaimana kita dapat menghindari situasi seperti itu sebisa mungkin? Apakah ada metode identifikasi lainnya?
Cavin:
Produk OneKey telah memperoleh sertifikasi EAL 6+ dan sangat aman. Sulit bagi peretas untuk mengekspor kunci pribadi dari dompet perangkat keras, dan peretasan dengan brute force sangat sulit. Dompet perangkat lunak rentan terhadap serangan jaringan, dan dompet perangkat keras dapat mengisolasi proses ini.
Baru:
Keamanan bersifat relatif, dan terdapat masalah dengan sistem kunci pribadi. Berhati-hatilah saat mengelola aset, dan jangan mengandalkan satu perangkat untuk menyimpan semua aset Anda. Buat cadangan, dan jangan percaya pada perangkat apa pun yang tampaknya aman. Kami akan mengusulkan solusi tentang cara mengelola aset dengan lebih baik.
4. Orang seperti apa yang menjadi target peretas? Kondisi apa yang harus dipenuhi?
Host JY: Orang seperti apa yang menjadi target peretas? Kondisi apa yang harus dipenuhi?
Cavin:
Dari kasus 1.155 WBTC, kami berspekulasi bahwa peretas melakukan hash collision dan mensimulasikan alamat sebelum meluncurkan serangan, yang menghasilkan jaringan yang luas, mungkin mencakup puluhan ribu alamat. Tindakan peretas yang biasa dilakukan dapat ditemukan melalui catatan rapat transaksi. Pengguna perlu mengambil tindakan perlindungan, termasuk manajemen dana, mengisolasi dompet dalam berbagai skenario, memeriksa otorisasi alamat secara berkala, dan mengembangkan kebiasaan transaksi transfer yang baik.
Baru:
Peretas dapat mencuri aset tanpa pandang bulu dengan menempatkan tautan phishing, termasuk metode otorisasi, metode transfer simulasi, dan pencurian kunci pribadi.
Peretas juga dapat menargetkan individu. Ketika mereka menemukan bahwa ada banyak dana di rantai tersebut, mereka akan melancarkan serangan dan mengirimi Anda beberapa tautan melalui pesan sosial. Atau mereka mungkin meminta Anda untuk membeli USDT, mengirimi Anda email, menyamar sebagai rekan kerja, dan mencuri dengan berbagai cara lainnya. Jadi berhati-hatilah, jangan langsung percaya kepada orang lain dan mengeklik pranala yang tidak dikenal.
Untuk sisi proyek, peretas dapat menargetkan alamat kontrak untuk mencari kerentanan dan serangan. Sisi proyek perlu melakukan audit dan verifikasi aset pengguna dengan baik. Selain itu, peretas cenderung menyerang staf layanan pelanggan di sisi proyek, menyerang komputer dengan menambahkan teman, mengirim pesan, dll., memperoleh informasi intranet, dan mencuri aset. Peretas cenderung melakukan intrusi yang terorganisasi dan terencana terhadap perusahaan dan pengguna dengan aset besar. Tim perlu dilatih dan menetapkan tindakan pencegahan yang efektif.
Pengguna A mengajukan pertanyaan
Bagaimana cara mengidentifikasi dan mencegah serangan phishing dan tautan?
Baru:
Pertama, baik di ponsel atau PC, jika Anda tidak yakin apakah tautan tersebut valid, Anda dapat menggunakan mode privasi Google Chrome atau mode penyamaran untuk membuka tautan tersebut.
Kedua, saat Anda perlu memasang perangkat lunak di komputer, saya sarankan untuk menggunakan koleksi seperti CMC. Anda dapat menggunakan mode privasi untuk mengakses proyek Twitter atau situs web publik platform agregasi. Kedua, gunakan tautan dompet kosong. Gunakan mata telanjang Anda untuk mengidentifikasi alamat resmi. Umumnya, nama domain resmi tidak terlalu rumit.
Cavin:
Ditambahkan: Anda juga dapat memasang beberapa plugin keamanan. Kedua, tidak disarankan untuk mencari situs web proyek dari Google.
Pengguna B mengajukan pertanyaan
Apakah aman menyimpan aset kripto atau produk spot di bursa?
Baru:
Setiap bursa relatif aman. Tergantung pada bursa tempat Anda menempatkannya. Beberapa bursa memiliki kemampuan tertentu untuk membayar kompensasi. Bahkan jika Anda kehilangan sejumlah kecil aset, mereka dapat memberi Anda kompensasi, seperti Binance. Namun, aset dalam kontrak dapat hilang; tempat itu mungkin baik-baik saja. Perlu dicatat bahwa wajar jika bursa kecil lari, dan bursa kecil mungkin tidak dapat menahan serangan peretas dan dapat dicuri. Disarankan untuk menempatkannya di bursa utama dengan kemampuan kompensasi.
5. Saat ini, PoPP telah menarik banyak pengguna. Bagaimana cara PoPP memastikan keamanan aset?
Host JY: Saat ini, PoPP telah menarik banyak pengguna. Bagaimana cara memastikan keamanan aset?
Baru:
Kami mengutamakan keamanan aset. Berikut ini beberapa langkah utama yang telah kami ambil:
Yang pertama adalah manajemen keamanan seluruh sistem akun:
Saat ini kami menggunakan metode MPC untuk mengelola sistem akun, dan dalam versi 2.0, yaitu Q2 dan Q3, kami akan memperbaruinya lagi. Saya pribadi berpikir bahwa ada masalah tertentu dengan penggunaan akun EOA sebagai metode manajemen aset, jadi cara yang lebih aman adalah memanfaatkan akun EUA dan akun kontrak pintar sepenuhnya dan menggunakan kunci privat hanya untuk tujuan penandatanganan. Selain itu, ini adalah cara yang lebih masuk akal untuk memisahkan aset dan operasi. Dompet perangkat keras dan dompet perangkat lunak dapat meningkatkan keamanan kunci privat. Ini adalah cara yang lebih aman untuk menempatkan keamanan dana dalam kontrak pintar. Dalam sistem akun, kami akan menggunakan solusi MPC untuk membagi kunci privat menjadi tiga bagian untuk meningkatkan keamanan. (Misalnya, jika kunci privat Anda sendiri bocor, atau kunci privat platform bocor, Anda tidak akan dapat menyelesaikan proses penandatanganan. Karena bagian lain diberikan kepada badan keamanan.)
Akun kontrak pintar dibagi menjadi akun sosial dan akun virtual. Akun sosial menggunakan protokol ERC-6551 untuk menyimpan aset sosial, dan dapat melakukan multi-tanda tangan dan verifikasi selama proses interaksi. (Saat Anda berdagang, jika kunci pribadi bocor, Anda dapat mengubah kunci pribadi Anda tanpa kehilangan total aset Anda.) Akun virtual ERC-4337 populer lainnya. Meskipun saat ini tidak banyak skenario penggunaan, akun virtual merupakan tren pengembangan potensial yang secara bertahap akan membuat sistem akun menjadi cerdas. Saat ini, kami terutama menggunakan ERC-6551 untuk mendukung kontrak cerdas akun sosial Anda.
Yang kedua adalah keamanan proses interaksi:
Kami melihat bahwa lebih banyak kerugian aset terjadi pada lapisan interaksi, jadi di PoPP 2.0 kami akan merilis plug-in sosial yang dapat mengakses informasi pihak proyek. Saat berinteraksi, plug-in sosial kami akan mengidentifikasi proyek yang perlu masuk daftar putih untuk biaya otorisasi dan mengeluarkan perintah peringatan dini. Selain itu, melalui DEID dan plug-in bawaan, kami menyediakan lapisan isolasi dalam proses interaksi untuk melindungi aset pengguna dan keamanan identitas sosial.
Terakhir, sumber informasi AI kami: PoPP akan bekerja sama dengan pihak proyek keamanan dan pihak data untuk mengungkapkan informasi daftar putih dan daftar hitam guna membantu pengguna memperoleh informasi keamanan. Melalui ketiga level ini, kami berkomitmen untuk memastikan keamanan aset dan pengalaman sosial pengguna. Terima kasih telah mendengarkan.
Artikel ini bersumber dari internet: Insiden pencurian koin sering terjadi. Apa yang perlu kita ketahui tentang perlindungan aset kripto?
Terkait: Panduan Pompa PVP: Scythe dan Leek Mempromosikan Evolusi Bersama
Asli | Penulis Odaily Planet Daily | Nanzhi Sebelum Pump.fun menjadi populer, investor Solana Meme sebagian besar adalah Dewa Perang 10u karena alasan keamanan untuk mencegah operasi Rug seperti DEV menghilangkan likuiditas. Pada bulan Maret, dipengaruhi oleh BOME dan SLERF, kumpulan token Meme yang sangat besar mulai menjadi populer di Solana, tetapi juga mencapai titik beku lagi karena faktor-faktor seperti penurunan pasar secara keseluruhan dan meningkatnya jumlah insiden yang tidak terkendali. Sejak itu, Pump telah mengambil alih – metode pembukaan yang nyaman dan dukungan token yang aman telah membuat token Meme populer lagi di Solana. Dipengaruhi oleh serangan tersebut, Pump.fun meluncurkan acara tanpa biaya selama 7 hari. Jumlah token baru di Solana terus mencapai rekor tertinggi baru, dengan lebih dari 20.000 token baru ditambahkan setiap hari. Namun,…