Om du inte har hört det senaste surrandet i kryptosfären under den senaste veckan, så bor du förmodligen under en sten, för det är (tyvärr) alla människor har fokuserat på. Vid 4-tiden EST den 16 april 2018 hade mitt livestream, kryptovalutainvesterare, rådgivare och självutnämnda “evangelist”, Ian Balina bara blygit för 2 miljoner US-dollar stulna från sin ETH-plånbok.
Han avslutade plötsligt sin liveström och twittrade följande meddelande –
Det är svårt att förstå hur någon med miljontals innehav lagrade det så hänsynslöst. Och det läskigaste – det är vanligare än du tror. I en nu borttagen Telegram-massage förklarade Balina hur han tror att han blev hackad:
Så här tror jag att jag blev hackad. Mitt college-e-postmeddelande listades som ett återställnings-e-postmeddelande till mitt Gmail. Jag kommer ihåg att jag fick ett e-postmeddelande om att det komprometterades och försökte följa upp min högskolesäkerhet för att få det löst, men kunde inte få det hanterat på [sic] snabbt sätt och gav upp det och trodde att det bara var en gammal e-post.
Jag behåller textversioner av mina privata nycklar i min Evernote, som krypterade textfiler med lösenord. Jag tror att de hackade min e-post med min college-e-post och sedan hackade min Evernote.
För de som inte är helt säkra på vem Ian Balina är började han göra YouTube-videor i början av 2017 och lärde investerare hur man “hackar systemet” och tjäna en sexsiffrig inkomst. Han fick bara framträdande de senaste sex månaderna efter hans uppenbarelse att han parlayed a $ 90.000 investering i $ 4 miljoner på mindre än 12 månader – ett uttalande som han bekräftade med sina Blockfoton snapshots publicerade på Twitter.
Gilla honom eller inte, Ian Balina-hacket är en dyr lektion om hur viktigt det är att hålla din krypto säker. Här är fyra grundläggande säkerhetsupphämtningar och påminnelser som HODLers bör bekanta sig med och implementera i sin kryptosurfning, investering och lagring för att minimera risken för att bli hackad (eller bli lamslagen på sociala medier).
1. Flauntera det inte bara för att du har det
Precis som en genomsnittlig person inte går runt och ropar ut sina bankkontouppgifter och hur mycket pengar de har i plånboken i ett snuskigt område klockan två, borde kryptoinvesterare inte offentliggöra sin kryptoportfölj och innehav online – eller personligen.
Även när man deltar i populära onlineforum, som BitcoinTalk eller Reddit, är diskretion nyckeln – fråga bara den här Redditor som faktiskt publicerade sitt Siacoin privata utsäde online och fick en lektion i säkerhet av en lyckligt vänlig kollega Redditor.
Att avstå från att sända finansiell information online verkar som ett uppenbart tips, men det upprepas fortfarande.
Här är bara några av konsekvenserna och säkerhetsriskerna som det öppnar investerare för:
- Riktade nätfiskebedrägerier
- Ransomware
- Socialteknik
- Rån
Det stämmer, rån. Ta det från den här taiwanesiska mannen som visade bevis på sina bitcoins för 3 bedragare och slutligen blev överfallen och rånad. Bedrägerierna överförde 18 bitcoins – uppskattat till över 170 000 USD – från hans konto (via telefon).
Till och med Islands premiärminister hamnade som en ovetande åskådare till en mans flykt misstänks för att ha stulit cirka 600 datorer med Bitcoin, i vad som betraktas som Islands största rån någonsin.
Du kanske inte vill bli förbises, men du vill inte heller bli överbliven för mycket. Inte dox dig själv.
2. Använd kylförvaring om du lagrar mer än en månads lön online
När man bestämmer sig för att ponny och spendera $ 60 – $ 150 på en hårdvaruplånbok bör HODLers fråga sig hur mycket de är okej med att förlora, om deras lösenord eller inloggningsinformation skulle äventyras.
Att lagra privata nycklar online och använda heta plånböcker är hanterbart och lämpligt för investerare som lagrar små summor online, medan kylförvaring – lagring av medel i en offlineenhet – och hårdvaruplånböcker bör användas av investerare som har mer än en månads lön på en börs.
Om till och med att förlora en veckas lön till ett hack skulle påverka dig drastiskt – ekonomiskt eller känslomässigt – är det värt att spendera helgens barflik eller några av de pengar som sparats för din nanas överraskning 90-årsdag.
Där Balina gjorde fel i hans lagrings- och / eller privata nycklar var han genom att använda ett generiskt och gratis molnlagringsprogram och komprometterat college-e-post, vilket gjorde det möjligt för hackare att hacka hans nuvarande e-post och få tillgång till Evernote.
Att lagra en privat nyckel eller utsäde online räknas inte som kylförvaring – det anses då vara en het plånbok eftersom den är ansluten till internet – och kommer med många problem och säkerhetsproblem i samband med heta plånböcker.
Om du är osäker, bli kall.
Både Trezor och den Ledger Nano är två populära och ansedda hårdvaruplånböcker för att spara pengar. Kom bara ihåg att en liten investering i säkerhet nu kan förhindra Charlie Shrem – en grundande medlem av Bitcoin Foundation – från att ge dig en gång i framtiden.
Och om du letar efter rörlighet blandat med kylförvaring, överväg att använda CoolWallet S, en mobil hårdvaruplånbok som stöder Bitcoin, Ethereum, Ripple, Litecoin och Bitcoin Cash (ERC-20-tokens kommer).
Dessutom är pappersplånböcker ett effektivt sätt att frysa, förutsatt att du inte gör det lägg papperet med din återhämtningsfrö och PIN-kod under din dotters kudde före en flygning och hyra ett städteam för att städa upp.
För en omfattande titt på kryptovalutaplånböcker, kolla in vår nybörjarguide för kryptovalutaplånböcker.
3. Akta dig för Punycode
Ända sedan kryptos meteoriska uppgång de senaste åren har nätfiske blivit den föredragna metoden för bedragare som vill dra nytta av slarviga HODLers och de som snabbt hoppar på gratis kryptokonferenser – tack @VitarikBooterun från Ryssland som har 2 följare och ingen profilbild ( detta är ett falskt och helt gjort Twitter-handtag, men logga in på Twitter, hitta en @VitalikButerin Tweet och notera).
Det mest oroande problemet kring dagens phishing-attacker är deras komplexitet och estetiska äkthet. Speciellt för människor som jag, någon som är tekniskt tänkt att bära läsglasögon men inte är övertygad om att hans mamma säger till honom att han ser snyggare ut med dem – och istället väljer att kisa och hålla datorn nära ansiktet.
Och jag är inte den enda som lurats tidigare.
Tidigare i år kom det fram ett falskt Tron-konto hade verifierats av Twitter. Kontot hade samlat över 140 000 följare när de twittrade ut bedrägerier där användare skickade små mängder ETH till en postad adress med löfte om att få 10 gånger i gengäld.
Det stannar inte där. Nätfiskeattacker blir mer kreativa. Även om den inte används i Balina-hacket, är den här nätfiskemetoden värt att hålla ett öga på: leta inte längre än “punycode”.
Enkelt uttryckt är punycode en speciell representation av Unicode, låta hackare konvertera tecken till ASCII, en mindre och begränsad teckenuppsättning – tänk på det tyska språket. Till exempel är det tyska namnet på München ”München”.
Så, hur säger du till legitima webbplatser från skadliga webbplatser?
- Till att börja med letar du efter det gröna “https” och ordet “Secure” till vänster om webbplatsens URL-adress. Grön anger att webbplatsen har erhållit nödvändiga SSL-certifikat och är legitimt.
- För det andra är bokmärken för en ofta besökt webbsida ett effektivt sätt att minimera fel eller felstavning.
- Dubbelkolla för att se till att webbadressen var korrekt och lita på din tarm. En webbplats som visar popup-fönster vid omedelbart landning på sidan är förmodligen inte den rätta webbplatsen för handel och lagring av tusentals dollar i krypto.
4. Tvåfaktorautentisering är nyckeln – En metod regerar högsta
Säkerhetskopiera kryptokonton och inloggningar med tvåfaktorautentisering – även känd som 2FA – är ett viktigt steg för att förbättra portföljsäkerheten. 2FA kräver att användare anger ett engångslösenord (OTP) som de får via smartphone eller applikation för att slutföra inloggningsprocessen.
Användare som tar säkerhet på allvar bör dock avstå från att använda SMS-autentisering för 2FA och istället använda appar som Google Authenticator, eller de mindre populära Authy.
Forskare och säkerhetsexperter har länge varnat för användning av textmeddelanden som en validerande säkerhetsåtgärd när du loggar in online, och noterar att hackare tidigare har orkestrerat storskaliga attacker där de utnyttjade kända brister i olika mobilnät för att fånga textmeddelanden som skickats till användare.
Fördelen med Google Authenticator är att den förlitar sig på styrkan att inte behöva interagera med en mobiloperatör, och behålla de tidsbegränsade autentiseringskoderna i appen (vanligtvis i 30 sekunder) och telefon. Även om en hackare snabbt flyttar användarens telefonnummer till en ny telefon påverkas inte koden.
När du använder Google Authenticator eller andra 2FA-appar är det viktigt att säkerhetskopiera privata nycklar och lagra dem på ett säkert sätt – bara om du går sönder eller tappar telefonen.
Slutgiltiga tankar
Medan vissa i kryptosamhället inte är övertygade om att Balina verkligen hackades – påpekade flera misstänkta omständigheter och anledningar till att Balina faktiskt hade haft en direkt hand i det – har Balina sedan motbevisat sådana påståenden och uppgav att hacket är nu officiellt under kriminell utredning.
Oavsett vad som faktiskt hände är det uppenbart att även “erfarna” kryptoinnehavare gör allvarliga och uppenbara säkerhetsfel.
Förhoppningsvis fungerar den här artikeln som en påminnelse till alla där ute om att det är viktigt att ta en stund för att ompröva om du vidtar de rätta försiktighetsåtgärderna – oavsett hur enkla och grundläggande de verkar – för att säkert handla och lagra kryptovaluta.
Relaterad: Hur du skyddar dina kryptovalutor