Insiden keamanan aset kripto sering terjadi. Bagaimana cara memastikan bahwa platform dan aplikasi dompet yang Anda gunakan aman?

Penulis: Mu Mu, blockchain bahasa sehari-hari
 
Keamanan aset selalu menjadi topik umum dan penting dalam industri enkripsi. Namun, menurut pengamatan vernakular blockchain, meskipun ilmu keamanan sering dipopulerkan, tidak banyak orang yang benar-benar memperhatikan masalah keamanan, karena mentalitas umum banyak orang adalah: " Ini sepenuhnya sebuah kemungkinan. "Tiga melon dan dua kurma bukanlah giliranku." Sebaliknya, mereka sering berpikir bahwa giliran mereka untuk menang dalam lotre dengan probabilitas yang lebih rendah dari ini.
Faktanya, dengan pengarusutamaan aset kripto, insiden keamanan yang menargetkan aset pengguna individu sering terjadi, dan terlepas dari apakah mereka investor besar atau investor ritel, insiden ini sering terjadi di sekitar kita, dan bukan lagi peristiwa langka.
Jadi mulai dari insiden keamanan aset pengguna pribadi yang paling umum baru-baru ini, mari kita lihat masalah keamanan yang terkait erat dengan kami. Hal terpenting yang harus ditanggung adalah: Bagaimana memastikan bahwa platform dan dompet APP Anda menggunakan aman?
01 Apakah “saluran resmi” selalu aman?
 
Kebanyakan orang berpikir mudah untuk memastikan keamanan platform dan dompet APP. Cari saja “saluran resmi”, bukan? Sebenarnya belum tentu...
1. “Situs web resmi” lebih mirip situs web resmi daripada situs web resmi. Semua orang tahu cara mencari “situs web resmi”, tetapi dengan mengambil contoh dompet arus utama, dapatkah Anda segera mencantumkan alamat situs web resmi mereka yang akurat? Segera "kerjakan soal" tes:
Kebanyakan orang mungkin memilih A dan B. Menurut praktik sehari-hari, banyak orang akan mengira bahwa nama merek + .com atau akhiran io adalah situs resmi dengan "kekuatan merek", namun nyatanya, banyak tim yang bermula dari tim wirausaha kecil-kecilan. pada masa-masa awal, nama domain resmi yang didaftarkan saat itu sangat "acak", dan jawaban yang benar sebenarnya adalah C.
Untuk alasan yang sama, tim resmi dompet ini mungkin bahkan tidak mempertimbangkan untuk mendaftarkan merek dagang ketika mereka mulai... Kemudian merek dagang merek tersebut didaftarkan oleh orang lain, dan kemudian orang lain dapat menggunakan merek dagang tersebut untuk membeli layanan perlindungan merek di beberapa mesin pencari, dan dalam hasil pencarian Sangat membingungkan untuk memasang label sertifikasi "resmi merek" pada merek, atau membeli layanan promosi, dan Anda akan selalu berada di peringkat pertama. Sejauh ini, ketika mencari "situs web resmi dompet xxx" di beberapa mesin pencari utama, hasil pada beberapa halaman pertama kemungkinan besar palsu.
"Website resmi" yang lebih resmi dari website resmi ini memang telah "menjebak" banyak orang, karena juga merupakan salah satu metode yang berbiaya lebih rendah dan tingkat keberhasilan yang lebih tinggi bagi para hacker. 2. Bagaimana jika Anda mengetahui alamat situs resminya? Banyak orang beranggapan bahwa dengan memastikan Anda memasukkan nama domain resmi yang benar, aplikasi yang Anda unduh pasti aman. Namun, banyak hal masih terjadi. Dalam insiden keamanan dompet Bitkeep baru-baru ini, BitKeep mengumumkan bahwa setelah penyelidikan awal oleh tim, diduga beberapa unduhan paket APK dibajak oleh peretas dan menginstal paket dengan kode yang ditanamkan oleh peretas. Sederhananya, paket APK yang diunduh oleh beberapa pengguna telah "dibajak" oleh peretas selama proses tersebut, dan diunduh serta dipasang ke dalam "dompet" yang khusus diproses oleh peretas. Mari kita sertakan itu sebagai "dompet palsu" tidak resmi untuk tersebut saat ini.
Alasan utama yang disebutkan dalam pengumuman tersebut adalah "pembajakan". Karena ada banyak metode dan tautan "pembajakan", belum jelas tautan mana yang menyebabkan masalah, tetapi kita dapat berbicara tentang bagaimana peretas biasanya membuat pengguna masuk ke "situs web resmi" dengan jelas. " Nama domain, tetapi diunduh ke dompet palsu: Metode pertama adalah menggunakan file Localhost lokal untuk secara manual membuat skrip perangkat PC yang diinduksi atau malware atau virus diinstal melalui kerentanan. Dengan memodifikasi file Localhost host lokal, metode ini dapat langsung mengubah nama domain yang ditentukan Menunjuk ke IP server tidak resmi (seperti halaman "resmi" yang disiapkan oleh peretas), artinya, setelah membuka browser dan memasukkan nama domain yang akurat, situs web yang diakses oleh peretas adalah diakses dan APP palsu diunduh. Metode kedua adalah dengan langsung memanipulasi halaman yang dibuka oleh browser atau Aplikasi lokal. Saat Anda membuka situs web platform atau halaman web dompet tertentu, Anda dapat langsung mengubah konten yang ditampilkan pada halaman web tertentu melalui plug-in browser, seperti menunjuk. tombol unduh APLIKASI ke tautan unduh APLIKASI. Ganti alamat dengan alamat yang disiapkan oleh peretas, ganti alamat penyetoran dan penarikan aset dengan milik peretas, dan juga baca dan ubah alamat dompet atau kunci pribadi di papan klip. Mengenai apakah plugin browser memiliki izin untuk mengubah halaman web, jangan khawatir tentang hal ini, karena hampir sebagian besar plugin browser memiliki izin tersebut. Jika Anda mengamati dengan cermat, Anda akan menemukan bahwa Little Fox yang biasa kami gunakan pun Dompet juga memiliki izin seperti itu.… Belum lama ini, ada insiden di mana orang yang mengunduh CEX teratas menemukan bahwa bahkan APLIKASI palsu yang biasa kami gunakan menyebabkan alamat penyetoran dan penarikan diganti, yang mengakibatkan hilangnya aset. Jenis ketiga, pembajakan DNS jarak jauh, modifikasi catatan resolusi nama domain, dan peretasan server produsen APP, adalah masalah yang terjadi pada penyedia layanan Internet jarak jauh. Masalah ini jarang terjadi, dan biaya serta kesulitannya juga sangat tinggi, tetapi memang terjadi, dan mereka juga melalui metode "Keracunan" yang serupa memungkinkan nama domain yang Anda kunjungi untuk menentukan alamat peretas. Selain itu, jika akun penyedia layanan nama domain milik penyedia layanan dicuri, menyebabkan resolusi nama domain diubah, dll., hal ini dapat mengakibatkan masuk ke situs web resmi tetapi masuk ke situs web peretas. Selain itu, jika produsen APP sendiri diretas, mereka tidak akan bisa berkata apa-apa.
 
02 Tip Keamanan untuk Blockchain Vernakular
Setelah mengetahui bahwa peretas bahkan dapat membajak situs web resmi, saya harus mengeluh bahwa hal itu "tidak mungkin dicegah". Faktanya, masalah keamanan ini tidak hanya terjadi di bidang enkripsi. Di era digital, aplikasi apa pun memiliki masalah keamanan, termasuk bank dan aplikasi pembayaran pihak ketiga. Oleh karena itu, kami telah merangkumnya berdasarkan pengalaman masa lalu. Beberapa tip keamanan yang sesuai untuk referensi Anda: 1. Saat menggunakan anti-pembajakan HTTPS untuk memasukkan nama domain resmi yang benar, pastikan untuk menambahkan https:// di awal nama domain situs web, jika ada pembajakan lokal atau risiko Pembajakan DNS jarak jauh, biasanya akan ada peringatan merah "tidak aman" di atas bilah alamat browser dan berbagai peringatan seperti risiko keamanan halaman. Prinsip spesifiknya tidak akan dijelaskan secara rinci juga salah satu aplikasi enkripsi asimetris yang tersebar luas. Gunakan Untuk mencegah pembajakan, verifikasi asimetris dari tanda tangan terenkripsi digunakan untuk memastikan bahwa Anda mengakses halaman web resmi.
Sebuah penyimpangan di sini. Faktanya, banyak situs web sampingan proyek dan bahkan situs web DeFi tidak menggunakan atau terpaksa menggunakan HTTPS untuk menyebarkan situs web. Ini benar-benar tidak masuk akal. 2. Periksa hash file APK. Karena beberapa alasan khusus, pengguna ponsel Android domestik tidak dapat mengunduh Aplikasi secara langsung melalui Google Play dan hanya dapat mengunduh paket instalasi APK. Sebagian besar insiden keamanan Aplikasi palsu terjadi saat APK diganti atau APK palsu diunduh .. pertanyaannya, maka kita harus memastikan bahwa APK tersebut disediakan secara resmi.
Pertama, gunakan HTTPS untuk membuka situs resmi dan masuk ke halaman download. Siswa yang berhati-hati mungkin melihat bahwa beberapa halaman download biasanya memiliki link dengan tulisan "Verifikasi keamanan aplikasi" atau SHA256 petunjuk keamanan, dan 90% Orang belum mengklik tautan verifikasi untuk melihat konten dan memverifikasinya... Setelah mengklik tautan verifikasi keamanan atau tautan SHA256, kita akan melihat nilai hash yang sesuai dengan file paket instalasi APK yang diumumkan secara resmi (jika ada modifikasi pada file, ha Nilai hash akan berubah total). Setelah mendownload file APK, kami menghitung bahwa nilai hashnya sesuai dengan yang resmi, artinya file tersebut belum diganti. Setelah mengunduh APK, langkah kuncinya adalah Buka situs web pengecekan virus virustotal.com milik Google dan unggah file APK yang baru saja Anda unduh. Kita bisa mendapatkan nilai hash dari file ini untuk perbandingan dan mencarinya melalui lusinan database virus. Apakah file tersebut membawa kode berbahaya, dll., dapat dikatakan sebagai artefak yang membunuh dua burung dengan satu batu.
Terakhir, jika ingin lebih teliti, Anda juga harus memperhatikan kekhawatiran bahwa nilai hash dan link download dirusak oleh virus dan plug-in lokal saat membuka halaman download situs resminya nilai hash konsisten melalui browser di lingkungan yang berbeda seperti ponsel.
Jika halaman unduh situs resmi dompet yang akan Anda unduh tidak mendukung HTTPS, hal pertama yang harus Anda ragukan adalah apakah itu situs resmi asli. Selain itu, jika tidak menyediakan verifikasi nilai hash file APK, Anda juga dapat meragukan keamanan tim dompet ini. Sikap, kelalaian seperti itu sangat tidak pantas dan tidak bertanggung jawab. 3. Bagaimana cara memeriksa apakah platform dan aplikasi dompet yang saat ini diinstal aman? Faktanya, cara terbaik adalah masuk ke Android Google Play dan iOS AppStore untuk mendownload dan menginstal melalui halaman download situs resminya, karena secara teori faktor keamanan Google dan Apple App Store jauh lebih tinggi daripada faktor keamanan resminya. dompet, dan platform mereka memiliki perangkat lunak, perangkat keras, cadangan bakat, dompet, atau platform keamanan tingkat atas dunia yang tidak berada pada level yang sama dengan mereka.
Oleh karena itu, buka halaman Google Play dan AppStore melalui halaman unduh situs web resmi dompet dan platform, dan konfirmasikan kembali nama perusahaan pengembang, volume unduhan, dan volume ulasan (dompet arus utama memiliki volume besar). menganggap APP yang diunduh aman saat ini.
Jika Anda tidak yakin apakah paket apk yang saat ini Anda gunakan untuk menginstal suatu aplikasi aman, Anda dapat mengikuti dua tip keamanan sebelumnya untuk mengonfirmasi yang resmi dan memverifikasi hash, lalu mengunduhnya ke ponsel Anda untuk menimpa instalasi. jangan lupa untuk membackup helper terlebih dahulu. Ingat kata-kata tersebut untuk mencegah kesalahan pada proses overwriting yang mengakibatkan hilangnya data dan tidak dapat mengembalikan wallet (namun umumnya menimpa instalasi atau update aplikasi tidak akan menyebabkan hilangnya data). 4. Saran lain tentang keamanan dompet. Jika Anda tidak menggunakan dompet dingin atau dompet perangkat keras, dan mereka yang menyukai dompet panas, cara paling aman adalah dengan menginstalnya di perangkat iPhone. Pertama, Anda hanya memerlukan ID luar negeri dan tidak perlu. Tidak memerlukan semua kerumitan Android. Kedua, iPhone terkunci. Data pasca-terenkripsi tidak dapat dibuka tanpa kunci.
Banyak aplikasi utama di luar negeri (seperti Metamask) tidak mendukung pengunduhan dan pemasangan APK saja karena terlalu banyak masalah keamanan. Namun, banyak produsen tidak punya pilihan selain menarik pelanggan baru dan memiliki terlalu banyak pengguna Android untuk membuka unduhan APK ingin melewati Untuk membuka APK, Anda memerlukan perangkat lunak yang diperlukan seperti Kerangka Layanan Google (termasuk Google Play) dan Pemverifikasi Kata Sandi Google. Pada tahap ini, sangat sulit untuk menginstal karena beberapa alasan karena tidak resmi.
Tentu saja, Anda harus menggunakan ponsel Android. Anda dapat memilih beberapa produsen yang masih mendukung kerangka Google Family Bucket, seperti Samsung. Selain itu, memasang dompet ke dalam folder aman yang mendukung isolasi chip keamanan dapat menjadi lapisan kedua keamanan, yang dapat dicapai Seperti ponsel Apple, ia memiliki efek keamanan tambahan karena tidak dapat membuka kunci dan memperoleh data sensitif jika hilang.
 
5. Saran pada platform APP
Karena sebagian besar platform CEX menggunakan banyak verifikasi, mereka tidak terlalu terpengaruh oleh APP palsu (yang lebih sulit bagi peretas). Namun, Anda juga harus memperhatikan untuk memastikan apakah alamat penyetoran dan penarikan di APP konsisten dengan alamat resmi yang diberikan Selain itu, pastikan untuk mengaktifkan fungsi "daftar putih" dalam platform, aset hanya dapat disebutkan ke alamat daftar putih yang aman.
Selain itu, risiko terbesar yang dihadapi oleh platform CEX, selain dari dua pembajakan lokal dan modifikasi alamat penyetoran dan penarikan yang disebutkan di atas, adalah phishing, karena APP, SMS, dan autentikator Google kebanyakan orang sebenarnya dipasang di perangkat yang sama Hasilnya, selama peretas mengontrol atau memantau perangkat, kemungkinan besar dia dapat mengontrol ketiga informasi ini dan mengontrol aset platform Anda.
Oleh karena itu, demi alasan keamanan, tidak disarankan untuk mengoperasikan beberapa verifikasi pada satu perangkat secara bersamaan. Anda dapat menginstal Google Authenticator di ponsel aman lainnya, atau Anda dapat mengoperasikan akun platform di PC atau halaman web PC tanpa menginstal. aplikasi di ponsel. Hal ini dapat mencegah satu Klik "Meledak" untuk melindungi keamanan aset semaksimal mungkin.
 
03 Ringkasan
Keamanan bukanlah masalah kecil. Vernakular Blockchain percaya bahwa masalah keamanan layak untuk dibicarakan setiap hari dan setiap saat, mungkin hanya perlu satu detik lagi untuk memperhatikan detail ini, dan itu dapat meningkatkan keamanan aset sebesar 99%. Kemungkinan, kenapa tidak?