Apakah dompet rubah kecil dan imToken Anda menjadi sasaran? Serangan dan phishing yang menargetkan dompet arus utama meledak dalam skala besar

Berbagai insiden keamanan dompet telah muncul di industri baru-baru ini:
Pada tanggal 18 April, tweet tentang 5,000 koin ETH yang dicuri oleh pengembang dompet MetaMask @tayvano_ beredar luas di komunitas kripto, percaya bahwa MetaMask memiliki kerentanan, menyebabkan kepanikan di komunitas. Pada tanggal 19 April, MetaMask menjawab bahwa kerentanan tersebut dicuri adalah salah, tetapi MetaMask sedang mempelajari sumber kerentanannya.
Pada tanggal 20 April, pejabat imToken mengingatkan bahwa penipu baru-baru ini menyamar sebagai pejabat imToken dan menghubungi pengguna dengan mengirimkan pesan teks dan metode lain untuk membujuk pengguna mengunjungi situs web palsu dan memasukkan frasa mnemonik, sehingga menyebabkan pengguna menderita kerugian aset. Pada tanggal 21 April, peneliti SlowMist mengatakan Iklan teratas setelah mencari "imToken" di Google adalah situs phishing jenis baru. Pengguna disarankan untuk tidak mengklik link tersebut dan berhati-hati untuk menghindari risiko.
Pada tanggal 22 April, Trust Wallet mengeluarkan pengumuman bahwa terdapat kerentanan pada alamat dompet baru yang dibuat dari tanggal 14 hingga 23 November tahun lalu, dan proses kompensasi dibuat untuk pengguna yang terkena dampak.
Dengan ledakan permintaan interaksi pada rantai seperti DeFi dan NFT, industri ini tidak lagi seperti dulu. Hanya membeli koin di CEX dan menempatkannya di CEX dapat memenuhi kebutuhan sebagian besar investor bahkan semua Token disimpan di dompet sendiri, yang juga menyebabkan industri ini menjadi surga bagi peretas. Dari waktu ke waktu, dilaporkan bahwa beberapa investor mengunduh Aplikasi palsu karena otorisasi, membocorkan kunci pribadi, atau memiliki kerentanan. di dompet itu sendiri, mengakibatkan pencurian aset mereka, pada akhirnya ternyata tidak ada artinya. Memastikan keamanan aset sendiri telah menjadi keterampilan penting dalam industri.
Selanjutnya kita akan memahami secara komprehensif bagaimana melindungi keamanan aset blockchain dari beberapa aspek seperti pengetahuan terkait dompet, kasus pencurian, dan pengetahuan melindungi kunci pribadi.
Pengetahuan terkait dompet
Sebelum memastikan keamanan aset Anda, Anda perlu memiliki pemahaman tertentu tentang beberapa pengetahuan dasar tentang dompet di industri ini sehingga Anda dapat lebih memahami cara melindungi aset Anda. Selanjutnya, kami memperkenalkan secara singkat beberapa konsep terkait.
1. Enkripsi simetris dan enkripsi asimetris
Sebelum memahami kunci publik (private), terlebih dahulu kita memahami secara singkat tentang enkripsi simetris dan enkripsi asimetris dalam kriptografi. Enkripsi simetris berarti A dapat memperoleh B melalui algoritma tertentu, dan sebaliknya, B dapat mendekripsi A secara terbalik melalui algoritma yang sama. Di sini, algoritma yang sama digunakan untuk enkripsi dan dekripsi, enkripsi asimetris berarti A melalui algoritma tertentu dapat memperoleh B , tetapi B tidak dapat didekripsi secara terbalik melalui algoritma yang sama. Diperlukan algoritma yang berbeda untuk enkripsi dan dekripsi di sini.
 Seperti terlihat pada gambar, perbedaan antara enkripsi simetris dan enkripsi asimetris terletak pada apakah kunci publik penerima pesan dan kunci privat penerima pesan pada gambar merupakan kunci yang sama.
2. Kunci publik (pribadi), frase mnemonik, alamat
Setelah memahami enkripsi simetris dan enkripsi asimetris, Anda dapat lebih memahami beberapa konsep dasar terkait dompet.
Pasangan kunci: Pada enkripsi asimetris terdapat sepasang kunci yaitu kunci publik dan kunci privat.
Kunci publik: digunakan untuk mengenkripsi data. Data yang dienkripsi dengan kunci publik hanya dapat didekripsi menggunakan kunci pribadi.
Kunci pribadi: Kunci pribadi dapat menghasilkan kunci publik, yang digunakan untuk mendekripsi data yang dienkripsi oleh kunci publik.
Alamat: Sesuai dengan "kunci publik", karena kunci publik terlalu panjang, terdapat "alamat", dan alamat dihasilkan oleh kunci publik.
Mnemonik: Sesuai dengan "kunci pribadi", karena kunci pribadi adalah string yang dibuat secara acak yang terlalu panjang dan sulit diingat, serangkaian kata yang dapat dibaca manusia dibuat untuk menggantikan kunci pribadi guna membantu pengguna mengingat kunci pribadi. , biasanya 12 frasa tidak beraturan. (kunci pribadi = frase mnemonik)
Jaringan sumber gambar: proses transaksi on-chainTanda tangan elektronik: Untuk informasi tertentu (Anda mentransfer 100 Ethereum ke seseorang), informasi ini perlu ditandatangani dengan kunci pribadi Anda dan kemudian disiarkan ke blockchain.
Verifikasi tanda tangan: Pihak penerima dapat memverifikasi melalui kunci publik Anda bahwa pesan tersebut memang ditandatangani oleh kunci pribadi Anda, itulah yang Anda terbitkan, dan catatan transaksi ada di rantai. Oleh karena itu, siapa pun yang mengontrol kunci pribadi akan mengontrol dompet.
Sederhananya, kunci publik (alamat) setara dengan nomor akun Anda, dan kunci pribadi (frasa mnemonik) setara dengan nomor akun + kata sandi Anda (kunci pribadi dapat menghasilkan kunci publik).
Menggunakan analogi kartu bank, kunci publik = rekening bank, alamat = nomor kartu bank, kata sandi = kata sandi kartu bank, kunci pribadi = nomor kartu bank + kata sandi kartu bank, mnemonik = kunci pribadi = nomor kartu bank + kata sandi kartu bank, Keystore + kata sandi = kunci pribadi,.
3. Menyimpan kunci pribadi (frase mnemonik)
Koin Anda tidak disimpan di aplikasi dompet Anda, tetapi di alamat yang sesuai dengan kunci pribadi di jaringan blockchain. Selama Anda memiliki kunci pribadi, Anda dapat masuk ke semua dompet melalui kunci pribadi (dompet ini mendukung Anda rantai koin), dompet hanya sebagai front-end untuk menampilkan dana akun dan tidak menyimpan kunci pribadi Anda.
Jika kunci pribadi hilang, berarti aset Anda juga akan hilang dan tidak dapat diambil melalui dompet untuk pertama kali, halaman dompet umumnya akan mengingatkan pengguna akan hal ini. Ini benar-benar berbeda dari QQ dan WeChat yang kami gunakan sebelumnya. Jika kata sandinya hilang, itu dapat diverifikasi melalui verifikasi ponsel, pertanyaan, dan verifikasi teman milikmu.
4. Jenis dompet
Tergantung pada apakah kunci pribadi terhubung ke Internet, dompet dapat dibagi menjadi dompet panas dan dompet dingin, seperti yang ditunjukkan pada gambar di atas.
Dompet panas: dompet klien, dompet plug-in, aplikasi seluler.
Mudah digunakan, mudah dioperasikan oleh pemula, memiliki efisiensi transfer transaksi yang relatif tinggi, namun memiliki keamanan yang buruk dan mudah dicuri.
Dompet dingin: Dompet perangkat keras.
Ini memiliki keamanan yang tinggi dan cocok untuk menyimpan aset dalam jumlah besar. Pembuatan yang rumit, transfer yang merepotkan, kerusakan perangkat keras, atau hilangnya kunci pribadi dapat menyebabkan hilangnya aset digital.
Dari penjelasan di atas, kita dapat mengetahui bahwa kunci privat adalah segalanya, dan semua tindakan kita untuk melindungi aset sebenarnya adalah untuk melindungi kunci privat, melindungi kunci privat, dan melindungi kunci privat. (Mencegah kunci pribadi hilang dan diperoleh orang lain)
Kasus yang dicuri
Setelah memahami konsep-konsep yang relevan, mari kita lihat kasus-kasus kerugian utama saat ini. Melalui kasus-kasus tersebut, kita dapat melindungi dompet kita sendiri dengan lebih baik.
1.Kebocoran kunci pribadi (frase mnemonik)
Pada awal tahun 2021, Yiren, pendiri Making Money Youshu, menyimpan kunci pribadi Bitcoin di Cloud Notes, yang mengakibatkan hilangnya aset delapan digit di BTC.
Pada bulan November 22, aset digital pendiri Fenbushi Capital Shen Bo senilai US$42 juta dicuri. Aset yang dicuri termasuk: 38,233,180 USDC, 1,607 ETH, 719,760 USDT, dan 4.13 BTC. Menurut analisis selanjutnya yang dilakukan oleh badan keamanan Slow Mist, pencurian tersebut disebabkan oleh kebocoran frase mnemonik.
2. Kunci privat (frasa mnemonik) hilang
Insinyur TI Inggris James Howells kehilangan hard drive komputernya pada tahun 2013, yang berisi 8.000 Bitcoin. Sembilan tahun kemudian, ia berencana menghabiskan US$74,3 juta untuk mengobrak-abrik tempat barang rongsokan untuk memulihkan hard drive komputer tersebut.
3. Klik tautan virus
Seorang pengguna secara acak mengklik tautan yang dikirim oleh orang lain, menyebabkan peretas membaca cadangan terenkripsi lokal metamask dan semua aset dicuri.
Twitter KOL mengklik tautan pribadi yang dikirim oleh orang lain, menyebabkan akun Twitter dicuri, dan kemudian menerbitkan informasi airdrop beracun, menggunakan kepercayaan penggemar pada KOL untuk mengklik tautan tersebut untuk mencuri aset penggemar.
4. Otorisasi sesuka hati dapat menyebabkan kerentanan pada aplikasi.
Pada tanggal 2 Oktober, DEX Transit Swap Token Pocket secara resmi menyatakan bahwa mereka telah mengalami serangan peretas, dengan kerugian aset melebihi US$15 juta, dan mengingatkan pengguna untuk membatalkan otorisasi.
Pada tanggal 11 Oktober, dompet plug-in Rabby yang dikembangkan oleh tim DeBank mengklaim bahwa kontrak Swapnya memiliki kerentanan dan merekomendasikan agar pengguna membatalkan otorisasi Rabby Swap.
5. Unduh APLIKASI palsu (dengan perangkat lunak virus)
Setelah beberapa peretas memperoleh informasi pengguna platform, mereka menyebarkan pesan panik kepada pengguna melalui pesan teks. Platform tidak lagi aman. Mereka perlu mengklik tautan untuk menginstal ulang aplikasi atau masuk ke akun dicuri.
Seorang pengguna mengunduh aplikasi Binance palsu dan ketika mentransfer uang, mentransfernya ke alamat orang lain, dan 5 aset ETH hilang sepenuhnya.
Kita dapat melihat dari kasus di atas bahwa aset pengguna dicuri terutama dalam situasi berikut: kebocoran kunci pribadi (frasa mnemonik), hilangnya kunci pribadi (frasa mnemonik), mengklik tautan virus, otorisasi sewenang-wenang, dan kerentanan aplikasi beberapa situasi seperti mengunduh APP palsu (dengan perangkat lunak virus).
Selanjutnya mari kita pilah cara apa saja yang bisa digunakan untuk menghindari situasi di atas.
Bagaimana menghindari kerusakan properti
1. Penyimpanan kunci pribadi (inti: tidak mudah hilang, tidak mudah rusak, dan tidak dapat diakses atau digunakan orang lain)
Cadangkan dompet segera setelah dibuat, buat cadangan ganda, karena sekali hilang tidak dapat diambil.
Frase mnemonik disimpan pada media yang tidak terhubung ke Internet dan tidak mudah hilang atau rusak, seperti menyalinnya ke kertas dan mengenkripsinya sendiri (menambah atau mengurangi karakter tertentu untuk memudahkan memori); tidak pernah terhubung ke Internet; ada beberapa Penyedia dompet yang menjual pelat besi yang berhubungan dengan frasa mnemonik.
Gunakan dompet dingin (dompet perangkat keras) dan pilih dompet dingin yang terkenal; beli dari saluran resmi dan bukan melalui saluran pihak ketiga (saluran pihak ketiga mungkin berisi virus); dompet perangkat keras agar tidak hilang atau rusak.
2. Mencegah kebocoran kunci pribadi (frase mnemonik).
Jangan menyalin dan menempelkan kunci pribadi, beberapa perangkat lunak dapat membaca clipboard pengguna
Jangan simpan kunci pribadi di koleksi WeChat, transfer file, Baidu Cloud, Evernote, dan platform online lainnya
Jangan pernah memberi tahu siapa pun tentang kunci pribadi Anda. Ingat, itu adalah siapa pun. Beberapa penipu berpura-pura menjadi petugas dompet untuk menipu kunci pribadi Anda.
Saat menggunakan Wi-Fi publik, jangan salin dan tempel kunci pribadi Anda
Untuk mendownload berbagai aplikasi sebaiknya buka saluran resmi. Terkadang semua toko aplikasi tidak dapat dipercaya (ingat semuanya) dan ada aplikasi palsu.
Berhati-hatilah saat menandatangani dompet Anda. Untuk pengguna berat protokol DeFi dan interaksi NFT, ingatlah untuk mencabut otorisasi tepat waktu untuk mencegah pencurian aset karena kerentanan dalam aplikasi.
Jangan mengklik link (pesan teks) yang dikirim oleh orang lain sesuka hati, mendownload file yang dibagikan oleh orang lain, atau bahkan mengklik beberapa link KOL sesuka hati, karena mungkin mengandung virus.
Setelah Anda menemukan ada kebocoran aset di dompet Anda, Anda harus meninggalkan dompet tersebut sesegera mungkin dan jangan mengambil risiko.
Jangan gunakan VPN gratis
Ikuti terus berita dan pelajari informasi baru yang dicuri secara real-time
Semua tindakan di atas sebenarnya untuk melindungi kunci pribadi Anda dari kebocoran. Bukan kunci Anda, bukan koin Anda!
3. Aset ditempatkan secara tersebar
Anda dapat menyebarkan dana Anda sendiri di dompet dan platform perdagangan. Meskipun insiden FTX telah menyebabkan kurangnya kepercayaan pada platform perdagangan terpusat, bagi kebanyakan orang, lebih baik menempatkan aset mereka di beberapa platform perdagangan terkemuka yang terpusat daripada menahannya. di tangan mereka sendiri. Ini relatif lebih aman dan nyaman daripada dompet. Selama kerugiannya tidak terlalu besar, beberapa platform terkemuka umumnya mampu membayar kompensasi.
Ada beberapa hal yang perlu diperhatikan ketika menggunakan platform perdagangan terpusat:
Aktifkan verifikasi tiga kali lipat (ponsel, email, verifikasi dua langkah Google)
Aktifkan daftar putih penarikan koin
Unduh Aplikasi dari saluran resmi
Saat mentransfer uang, konfirmasikan apakah alamatnya benar
Melalui pengetahuan terkait di atas, pengguna pemula dapat memiliki pemahaman komprehensif tentang pengetahuan yang relevan tentang keamanan aset blockchain Dengan berkembangnya blockchain dan peningkatan interaksi on-chain, penggunaan dompet secara bertahap akan menjadi keterampilan dasar yang penting dan berbagai tindakan. sebenarnya tidak sepenuhnya aman, namun secara relatif, mereka dapat menghindari sebagian besar jebakan. Dengan berkembangnya blockchain, masalah baru akan terus muncul, yang mengharuskan kita untuk terus meningkatkan cadangan pengetahuan kita.
Dana dalam jumlah kecil tidak harus disimpan sesuai dengan cara di atas, namun Anda harus berhati-hati dan berhati-hati saat menyimpan posisi besar, karena satu kesalahan di pihak Anda dapat menyebabkan Anda terlempar dari kereta blockchain selamanya .