Jika Anda belum pernah mendengar desas-desus terbaru di dunia kripto selama seminggu terakhir, Anda mungkin hidup di bawah batu, karena (sayangnya) semua orang telah berfokus padanya. Sekitar pukul 4 pagi EST pada 16 April 2018, streaming langsung tengah, investor cryptocurrency, penasihat, dan yang memproklamirkan diri sebagai “penginjil”, Ian Balina baru saja malu dengan US $ 2 juta yang dicuri dari dompet ETH-nya.

Dia tiba-tiba mengakhiri streaming langsungnya, men-tweet pesan berikut –

Tweet Hack Ian Balina

Sulit untuk membayangkan bagaimana seseorang dengan kepemilikan jutaan menyimpannya dengan begitu sembrono. Dan bagian yang paling menakutkan – ini lebih umum dari yang Anda pikirkan. Dalam pijatan Telegram yang sekarang dihapus, Balina menjelaskan bagaimana menurutnya dia diretas:

Ini adalah bagaimana saya pikir saya diretas. Email kuliah saya terdaftar sebagai email pemulihan ke Gmail saya. Saya ingat mendapatkan email tentang hal itu disusupi, dan mencoba menindaklanjuti dengan keamanan perguruan tinggi saya untuk menyelesaikannya, tetapi tidak dapat menanganinya dengan cepat dan menyerah karena mengira itu hanya yang lama surel.

Saya menyimpan versi teks dari kunci pribadi saya yang disimpan di Evernote saya, sebagai file teks terenkripsi dengan kata sandi. Saya pikir mereka meretas email saya menggunakan email kampus saya dan kemudian meretas Evernote saya.

Bagi mereka yang tidak begitu yakin siapa Ian Balina, ia mulai membuat video YouTube pada awal 2017, mengajari investor cara “meretas sistem” dan mendapatkan penghasilan enam digit. Dia hanya menjadi terkenal dalam enam bulan terakhir setelah wahyu bahwa dia parlayed a $ 90.000 investasi menjadi $ 4 juta dalam waktu kurang dari 12 bulan – pernyataan yang dia dukung dengan miliknya Snapshot Blockfolio diposting di Twitter.

Suka atau tidak suka, peretasan Ian Balina adalah pelajaran mahal tentang betapa pentingnya menjaga keamanan crypto Anda. Berikut adalah 4 kesimpulan dan pengingat keamanan mendasar yang harus dibiasakan oleh HODL dan diterapkan ke dalam penjelajahan, investasi, dan penyimpanan crypto mereka untuk meminimalkan kemungkinan diretas (atau dikecam di media sosial).

1. Jangan Memamerkannya Hanya Karena Anda Mengerti

Sama seperti rata-rata orang yang tidak berkeliaran meneriakkan detail rekening bank mereka dan berapa banyak uang yang mereka miliki di dompet mereka di lingkungan kumuh pada pukul 2 pagi, investor crypto tidak boleh mempublikasikan portofolio dan kepemilikan crypto mereka secara online – atau secara langsung.

Bahkan ketika terlibat dalam forum online populer, seperti BitcoinTalk atau Reddit, kebijaksanaan adalah kuncinya – tanyakan saja Redditor ini yang benar-benar memposting benih pribadi Siacoin mereka secara online dan diberi pelajaran tentang keamanan oleh sesama Redditor yang bersahabat dan beruntung.

Menahan diri dari menyiarkan informasi keuangan secara online sepertinya tip yang jelas, tetapi masih perlu diulang.

Berikut ini hanya beberapa konsekuensi dan risiko keamanan yang terbuka bagi investor:

  1. Penipuan phishing bertarget
  2. Ransomware
  3. Rekayasa sosial
  4. Perampokan

Benar, perampokan. Ambil dari pria Taiwan ini yang menunjukkan bukti bitcoin-nya kepada 3 penipu, dan akhirnya diserang dan dirampok. Para penipu mentransfer 18 bitcoin – diperkirakan lebih dari US $ 170.000 – dari akunnya (melalui telepon).

Bahkan Perdana Menteri Islandia berakhir sebagai pengamat tanpa disadari untuk melarikan diri dari seorang pria diduga mencuri sekitar 600 komputer dengan Bitcoin, yang dianggap sebagai perampokan terbesar yang pernah ada di Islandia.

Anda mungkin tidak ingin diabaikan, tetapi Anda juga tidak ingin dipandang terlalu berlebihan. Jangan lakukan sendiri.

2. Gunakan Cold Storage jika Anda Menyimpan Gaji Lebih Dari 1 Bulan Secara Online

Ketika memutuskan apakah akan menambah dan menghabiskan $ 60- $ 150 untuk dompet perangkat keras, HODLers harus bertanya pada diri sendiri seberapa banyak mereka boleh kehilangan, jika kata sandi atau informasi login mereka dikompromikan.

Menyimpan kunci pribadi secara online dan menggunakan dompet panas dapat dikelola dan sesuai untuk investor yang menyimpan sejumlah kecil uang secara online, sementara penyimpanan dingin – penyimpanan dana di perangkat offline – dan dompet perangkat keras harus digunakan oleh investor yang memegang gaji lebih dari satu bulan di bursa.

Namun, jika kehilangan gaji seminggu karena peretasan akan secara drastis memengaruhi Anda – secara finansial atau emosional – maka ada baiknya menghabiskan tab bar akhir pekan itu atau sejumlah uang yang ditabung untuk kejutan ulang tahun ke-90 nana Anda.

Di mana Balina keliru dalam penyimpanan dan / atau kunci privatnya adalah melalui penggunaan program penyimpanan cloud generik dan gratis dan email perguruan tinggi yang dikompromikan, yang memungkinkan peretas untuk meretas emailnya saat ini dan mendapatkan akses ke Evernote.

Menyimpan kunci pribadi atau seed secara online tidak dianggap sebagai penyimpanan dingin – ini kemudian dianggap sebagai dompet panas, karena terhubung ke internet – dan dilengkapi dengan banyak masalah dan kerentanan keamanan yang terkait dengan dompet panas.

Jika ragu, menjadi dingin.

Kedua Trezor dan Ledger Nano adalah dua dompet perangkat keras yang populer dan bereputasi baik untuk menyimpan dana. Ingat saja, investasi kecil dalam keamanan sekarang bisa mencegah Charlie Shrem – anggota pendiri Bitcoin Foundation – dari memberi Anda sekali lagi di masa depan.

charlie shrem ian balina hack tweet

Dan, jika Anda mencari mobilitas yang bercampur dengan penyimpanan dingin, pertimbangkan untuk menggunakan CoolWallet S., dompet perangkat keras seluler yang mendukung Bitcoin, Ethereum, Ripple, Litecoin, dan Bitcoin Cash (token ERC-20 akan datang).

Selain itu, dompet kertas adalah alat penyimpanan dingin yang efektif, asalkan Anda tidak melakukannya tempatkan selembar kertas dengan seed pemulihan dan PIN Anda di bawah bantal putri Anda sebelum penerbangan dan menyewa tim pembersih untuk membereskan.

Untuk melihat dompet cryptocurrency secara komprehensif, lihat panduan pemula kami untuk dompet mata uang kripto.

3. Waspadai Punycode

Sejak kripto meroket dalam beberapa tahun terakhir, phishing telah menjadi metode yang disukai bagi penipu yang ingin memanfaatkan HODL yang ceroboh dan mereka yang cepat melompat pada hadiah kripto gratis – terima kasih @VitarikBooterun dari Rusia yang memiliki 2 pengikut dan tidak ada foto profil ( ini adalah akun Twitter palsu dan sepenuhnya dibuat-buat, tetapi masuk ke Twitter, temukan @VitalikButerin Tweet dan catat).

Masalah paling mengkhawatirkan seputar serangan phishing saat ini adalah kompleksitas dan keaslian estetika mereka. Terutama bagi orang-orang seperti saya, seseorang yang secara teknis seharusnya memakai kacamata baca tetapi tidak yakin dengan ibunya yang mengatakan kepadanya bahwa dia terlihat lebih tampan dengan kacamata itu – dan malah memilih untuk menyipitkan mata dan memegang komputer dekat dengan wajahnya.

Dan, saya bukan satu-satunya yang pernah dibodohi sebelumnya.

Awal tahun ini, hal itu terungkap akun Tron palsu telah diverifikasi oleh Twitter. Akun tersebut telah mengumpulkan lebih dari 140.000 pengikut sambil men-tweet hadiah penipuan di mana pengguna mengirim sejumlah kecil ETH ke alamat yang diposting dengan janji menerima 10x sebagai imbalannya..  

Tidak berhenti sampai di situ. Serangan phishing semakin kreatif. Meskipun tidak digunakan dalam peretasan Balina, metode phishing ini patut diperhatikan: tidak terlihat lagi selain “punycode”.

palsu binance phishing punycode

Sederhananya, punycode adalah representasi khusus dari Unicode, memungkinkan peretas untuk mengubah karakter menjadi ASCII, kumpulan karakter yang lebih kecil dan terbatas – pikirkan bahasa Jerman. Misalnya, nama Jerman untuk Munich adalah ‘München’.

Jadi, bagaimana Anda membedakan situs web yang sah dari yang jahat?

  • Sebagai permulaan, cari ‘https’ hijau dan kata ‘Aman’ di sebelah kiri langsung alamat URL situs web. Hijau menunjukkan situs web telah memperoleh sertifikat SSL yang diperlukan dan sah.
  • Kedua, mem-bookmark halaman web yang sering dikunjungi adalah cara yang efektif untuk meminimalkan kesalahan atau kesalahan eja.
  • Periksa kembali untuk memastikan URL telah dimasukkan dengan benar, dan percayai naluri Anda. Sebuah situs web yang menampilkan pop-up segera setelah tiba di halaman mungkin bukan situs yang tepat untuk memperdagangkan dan menyimpan crypto senilai ribuan dolar.

4. Otentikasi Dua Faktor adalah Kunci – Satu Metode Reigns Supreme

Mencadangkan akun crypto dan login dengan otentikasi dua faktor – juga dikenal sebagai 2FA – adalah langkah penting dalam meningkatkan keamanan portofolio. 2FA mengharuskan pengguna untuk memasukkan kata sandi satu kali (OTP) yang diberikan kepada mereka melalui ponsel cerdas atau aplikasi, untuk menyelesaikan proses masuk.

Namun, pengguna yang menganggap serius keamanan harus berhenti menggunakan otentikasi SMS untuk 2FA dan sebagai gantinya menggunakan aplikasi seperti Google Authenticator, atau yang kurang populer Authy.

Peneliti dan Pakar keamanan telah lama memperingatkan agar tidak menggunakan pesan teks sebagai ukuran keamanan yang memvalidasi saat masuk online, mencatat bahwa peretas sebelumnya telah mengatur serangan berskala besar di mana mereka mengeksploitasi kelemahan yang diketahui di berbagai jaringan seluler untuk mencegat pesan teks yang dikirim ke pengguna.  

Keuntungan dari Google Authenticator adalah ia bergantung pada kekuatan tidak perlu berinteraksi dengan operator seluler, menyimpan kode otentikasi yang dibatasi waktu pada aplikasi (biasanya selama 30 detik) dan telepon. Meskipun peretas dengan cepat memindahkan nomor telepon pengguna ke telepon baru, kode tersebut tidak terpengaruh.     

Saat menggunakan Google Authenticator atau aplikasi 2FA lainnya, sangat penting untuk mencadangkan kunci pribadi dan menyimpannya dengan aman – untuk berjaga-jaga jika ponsel Anda rusak atau hilang.

Pikiran Akhir

Sementara beberapa komunitas crypto tidak yakin Balina benar-benar diretas – menunjukkan beberapa keadaan yang mencurigakan dan alasan mengapa Balina mungkin benar-benar terlibat langsung di dalamnya – Balina sejak itu membantah klaim tersebut, menyatakan bahwa peretasan tersebut adalah sekarang secara resmi dalam penyelidikan kriminal.

Terlepas dari apa yang sebenarnya terjadi, jelas bahwa bahkan pemegang crypto “berpengalaman” pun melakukan kesalahan keamanan yang mengerikan dan jelas.

Semoga artikel ini menjadi pengingat bagi semua orang di luar sana bahwa penting untuk meluangkan waktu untuk menilai kembali apakah Anda telah mengambil tindakan pencegahan yang tepat – tidak peduli seberapa sederhana dan mendasar kelihatannya – untuk bertransaksi dan menyimpan cryptocurrency dengan aman.

Terkait: Bagaimana Mengamankan Cryptocurrency Anda