(sumber: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook)

Prolog

Pertama-tama, selamat karena telah menemukan buku panduan ini! Tidak peduli siapa Anda – jika Anda adalah pemegang mata uang kripto atau ingin terjun ke dunia kripto di masa depan, buku panduan ini akan banyak membantu Anda. Anda harus membaca buku pegangan ini dengan cermat dan menerapkan ajarannya dalam kehidupan nyata.

Selain itu, untuk memahami buku panduan ini secara menyeluruh diperlukan latar belakang pengetahuan tertentu. Namun, jangan khawatir. Sedangkan bagi pemula, jangan takut dengan hambatan pengetahuan yang bisa diatasi. Jika Anda menemukan sesuatu yang tidak Anda pahami, dan perlu mengeksplorasi lebih jauh, Google sangat direkomendasikan. Selain itu, penting untuk mengingat satu aturan keamanan: Bersikaplah skeptis! Apa pun informasi yang Anda lihat di web, Anda harus selalu mencari setidaknya dua sumber untuk referensi silang.

Sekali lagi, selalu bersikap skeptis 🙂 termasuk pengetahuan yang disebutkan dalam buku pegangan ini.

Blockchain adalah penemuan hebat yang membawa perubahan dalam hubungan produksi dan memecahkan masalah kepercayaan sampai tingkat tertentu. Secara khusus, blockchain menciptakan banyak skenario “kepercayaan” tanpa memerlukan sentralisasi dan pihak ketiga, seperti kekekalan, eksekusi sesuai kesepakatan, dan pencegahan penolakan. Namun kenyataannya kejam. Ada banyak kesalahpahaman tentang blockchain, dan pihak jahat akan menggunakan kesalahpahaman ini untuk mengeksploitasi celah tersebut dan mencuri uang dari orang-orang, sehingga menyebabkan banyak kerugian finansial. Saat ini, dunia kripto telah menjadi hutan gelap.

Harap ingat dua aturan keamanan berikut untuk bertahan hidup di hutan gelap blockchain.

1. Nol Kepercayaan: Sederhananya, tetaplah skeptis, dan selalu tetap demikian.
2. Validasi Keamanan Berkelanjutan: Untuk memercayai sesuatu, Anda harus memvalidasi apa yang Anda ragukan, dan menjadikan memvalidasi sebagai kebiasaan.

Catatan: Kedua aturan keamanan di atas adalah prinsip inti buku panduan ini, dan semua prinsip keamanan lain yang disebutkan dalam buku panduan ini berasal dari keduanya.

Oke, itu saja perkenalan kita. Mari kita mulai dengan diagram dan menjelajahi hutan gelap ini untuk melihat risiko apa yang akan kita hadapi dan bagaimana kita harus menghadapinya.

Sebuah Diagram

Anda dapat membaca sekilas diagram ini sebelum melihat lebih dekat sisa buku pegangan ini. Ini semua tentang aktivitas utama di dunia ini (apa pun sebutannya: blockchain, cryptocurrency, atau Web3), yang terdiri dari tiga proses utama: membuat dompet, mencadangkan dompet, dan menggunakan dompet.

Mari ikuti ketiga proses ini dan analisis masing-masing proses tersebut.

Buat Dompet

Inti dari dompet adalah kunci pribadi (atau frase awal).

Berikut tampilan kunci pribadinya:

0xa164d4767469de4faf09793ceea07d5a2f5d3cef7f6a9658916c581829ff5584

Selain itu, berikut tampilan seed frasenya:

titik lonjakan akhir pekan yang kejam penggunaan alien pusing yang tidak bersalah membangkitkan kesalahan penyesuaian

Catatan: Kami menggunakan Ethereum sebagai contoh di sini. Silakan periksa sendiri rincian lebih lanjut tentang kunci pribadi/frasa awal.

Kunci pribadi adalah identitas Anda. Jika kunci pribadi hilang/dicuri, maka Anda kehilangan identitas Anda. Ada banyak aplikasi dompet terkenal, dan buku panduan ini tidak akan membahas semuanya.

Namun, saya akan menyebutkan beberapa dompet tertentu. Harap dicatat, dompet yang disebutkan di sini dapat dipercaya sampai tingkat tertentu. Tapi saya tidak bisa menjamin mereka tidak akan mengalami masalah atau risiko keamanan, baik yang diharapkan atau tidak, selama penggunaan (Saya tidak akan mengulanginya lagi. Harap selalu ingat dua aturan keamanan utama yang disebutkan dalam prolog)

Diklasifikasikan berdasarkan aplikasi, ada dompet PC, dompet ekstensi browser, dompet seluler, dompet perangkat keras, dan dompet web. Dalam hal koneksi internet, dompet ini dapat dibagi menjadi dompet dingin dan dompet panas. Sebelum kita terjun ke dunia kripto, pertama-tama kita harus memikirkan tujuan dari dompet tersebut. Tujuannya tidak hanya menentukan dompet mana yang harus kita gunakan, tetapi juga bagaimana kita menggunakan dompet tersebut.

Apa pun jenis dompet yang Anda pilih, satu hal yang pasti: setelah Anda memiliki cukup pengalaman di dunia ini, satu dompet saja tidak cukup.

Di sini kita harus mengingat prinsip keamanan lainnya: isolasi, yaitu, jangan menaruh semua telur Anda dalam satu keranjang. Semakin sering dompet digunakan, semakin besar risikonya. Ingatlah selalu: ketika mencoba sesuatu yang baru, persiapkan terlebih dahulu dompet tersendiri dan cobalah sebentar dengan sejumlah kecil uang. Bahkan bagi seorang veteran kripto seperti saya, jika Anda bermain api, Anda akan lebih mudah terbakar.

Unduh

Hal ini terdengar sederhana, namun nyatanya tidak mudah. Alasannya adalah sebagai berikut:

1. Banyak orang tidak dapat menemukan situs web resmi yang sebenarnya, atau pasar aplikasi yang tepat, dan akhirnya memasang dompet palsu.
2. Banyak orang yang belum mengetahui bagaimana cara mengetahui apakah aplikasi yang diunduh telah dirusak atau tidak.

Jadi, bagi banyak orang, sebelum mereka memasuki dunia blockchain, dompet mereka sudah kosong.

Untuk mengatasi permasalahan pertama di atas, ada beberapa teknik mencari website resmi yang tepat, seperti

• menggunakan Google
• menggunakan website resmi ternama, seperti CoinMarketCap
• bertanya pada orang dan teman terpercaya

Anda dapat melakukan referensi silang informasi yang diperoleh dari berbagai sumber tersebut, dan pada akhirnya hanya ada satu kebenaran :) Selamat, Anda telah menemukan situs resmi yang benar.

Selanjutnya, Anda harus mengunduh dan menginstal aplikasi tersebut. Jika itu adalah dompet PC, setelah mengunduh dari situs resminya, Anda perlu menginstalnya sendiri. Sangat disarankan untuk memverifikasi apakah tautan telah dirusak sebelum pemasangan. Meskipun verifikasi ini mungkin tidak mencegah kasus-kasus di mana kode sumber diubah sepenuhnya (karena penipuan orang dalam, peretasan internal, atau situs web resmi mungkin diretas, dll.) Namun, verifikasi ini dapat mencegah kasus-kasus seperti gangguan sebagian pada kode sumber, serangan man-in-the-middle, dll.

Metode untuk memverifikasi apakah suatu file telah dirusak adalah dengan memeriksa konsistensi file. Biasanya ada dua cara:

• Pemeriksaan hash: seperti MD5, SHA256, dll. MD5 berfungsi pada sebagian besar kasus, namun masih terdapat sedikit risiko tabrakan hash, jadi biasanya kami memilih SHA256, yang cukup aman.
• Verifikasi tanda tangan GPG: metode ini juga sangat populer. Sangat disarankan untuk menguasai alat, perintah, dan metode GPG. Meskipun metode ini agak sulit bagi pendatang baru, Anda akan merasakannya sangat berguna setelah Anda memahaminya.

Namun, tidak banyak proyek di dunia kripto yang menyediakan verifikasi. Jadi, beruntung sekali bisa menemukannya. Misalnya, ini adalah dompet bitcoin yang disebut Sparrow Wallet. Halaman downloadnya bertuliskan “Memverifikasi Rilis”, yang sangat mengesankan, dan terdapat pedoman yang jelas untuk kedua metode yang disebutkan di atas, sehingga Anda dapat menggunakannya sebagai referensi:

https://sparrowwallet.com/download/

Halaman download menyebutkan dua alat GPG:

• GPG Suite, untuk MacOS.
• Gpg4win, untuk Windows.

Jika Anda memperhatikan, Anda akan menemukan halaman download untuk kedua alat GPG memberikan beberapa petunjuk tentang cara memeriksa konsistensi kedua metode. Namun, tidak ada panduan langkah demi langkah, artinya Anda perlu belajar dan berlatih sendiri :)

Jika itu adalah dompet ekstensi browserSeperti MetaMask, yang harus Anda perhatikan hanyalah nomor download dan rating di toko web Chrome. MetaMask, misalnya, memiliki lebih dari 10 juta unduhan dan lebih dari 2.000 peringkat (meskipun peringkat keseluruhannya tidak tinggi). Beberapa orang mungkin berpikir bahwa jumlah dan peringkat unduhan mungkin meningkat. Sejujurnya, sangat sulit untuk memalsukan jumlah sebesar itu.

Dompet ponsel mirip dengan dompet ekstensi browser. Namun perlu diperhatikan bahwa App Store memiliki versi yang berbeda-beda untuk setiap wilayah. Mata uang kripto dilarang di Tiongkok Daratan, jadi jika Anda mengunduh dompet dengan akun App Store Tiongkok Anda, hanya ada satu saran: jangan gunakan, ubah ke akun lain di wilayah berbeda seperti AS, lalu unduh ulang dia. Selain itu, situs resmi yang benar juga akan mengarahkan Anda ke metode pengunduhan yang benar (seperti imToken, Trust Wallet, dll. Penting bagi situs resmi untuk menjaga keamanan situs web yang tinggi. Jika situs resmi diretas, akan ada masalah besar. ).

Jika itu adalah dompet perangkat keras, sangat disarankan untuk membelinya dari situs resminya. Jangan membelinya dari toko online. Setelah Anda menerima dompet, Anda juga harus memperhatikan apakah dompet tersebut masih utuh. Tentu saja, ada beberapa keburukan pada kemasannya yang sulit dideteksi. Bagaimanapun, saat menggunakan dompet perangkat keras, Anda harus membuat frase awal dan alamat dompet setidaknya tiga kali dari awal. Dan pastikan hal itu tidak terulang kembali.

Jika itu adalah dompet web, kami sangat menyarankan untuk tidak menggunakannya. Kecuali Anda tidak punya pilihan, pastikan itu asli lalu gunakan dengan hemat dan jangan pernah mengandalkannya.

Frase Mnemonik

Setelah membuat dompet, kunci yang langsung kita tangani adalah frase mnemonik/frasa benih, bukan kunci privat yang lebih mudah diingat. Ada konvensi standar untuk frase mnemonik (misalnya, BIP39); ada 12 kata bahasa Inggris secara umum; bisa berupa angka lain (kelipatan 3), tetapi tidak lebih dari 24 kata. Jika tidak maka akan terlalu rumit dan tidak mudah diingat. Jika jumlah kata kurang dari 12, keamanannya tidak dapat diandalkan. Adalah umum untuk melihat kata-kata 15/12/18/21/24. Di dunia blockchain, 12 kata cukup populer dan aman. Namun, masih ada dompet perangkat keras keras seperti Ledger yang dimulai dengan 24 kata. Selain kata-kata bahasa Inggris, beberapa bahasa lain juga tersedia, seperti Cina, Jepang, Korea dan lain sebagainya. Berikut adalah daftar 2048 kata untuk referensi:

https://github.com/bitcoin/bips/blob/master/bip-0039/bip-0039-wordlists.md

Saat membuat dompet, frase awal Anda rentan. Perlu diketahui bahwa Anda tidak dikelilingi oleh orang-orang atau webcam atau apa pun yang dapat mencuri frase awal Anda.

Selain itu, harap perhatikan apakah frase awal dihasilkan secara acak. Biasanya dompet terkenal dapat menghasilkan frase benih acak dalam jumlah yang cukup. Namun, Anda harus selalu berhati-hati. Sulit untuk mengetahui apakah ada yang salah dengan dompetnya. Bersabarlah karena mengembangkan kebiasaan ini demi keamanan Anda akan sangat bermanfaat. Terakhir, terkadang Anda bahkan dapat mempertimbangkan untuk memutuskan sambungan dari Internet untuk membuat dompet, terutama jika Anda akan menggunakan dompet tersebut sebagai dompet dingin. Memutuskan sambungan dari Internet selalu berhasil.

Tanpa kunci

Tanpa kunci berarti tidak ada kunci pribadi. Di sini kami membagi Keyless menjadi dua skenario besar (untuk memudahkan penjelasan. Pembagian tersebut bukan standar industri)

• Kustodian. Contohnya adalah pertukaran dan dompet terpusat, di mana pengguna hanya perlu mendaftarkan akun dan tidak memiliki kunci pribadi. Keamanan mereka sepenuhnya bergantung pada platform terpusat ini.
• Non-Penahanan. Pengguna memiliki kekuatan kontrol seperti kunci pribadi, yang bukan merupakan kunci pribadi sebenarnya (atau frase awal). Itu bergantung pada platform Cloud terkenal untuk hosting dan otentikasi/otorisasi. Oleh karena itu keamanan platform Cloud menjadi bagian yang paling rentan. Perusahaan lain memanfaatkan komputasi multi-pihak (MPC) yang aman untuk menghilangkan satu titik risiko, dan juga bermitra dengan platform Cloud populer untuk memaksimalkan pengalaman pengguna.

Secara pribadi, saya telah menggunakan berbagai macam alat Keyless. Pertukaran terpusat dengan kantong besar dan reputasi baik memberikan pengalaman terbaik. Selama Anda tidak bertanggung jawab secara pribadi atas kehilangan token (seperti jika informasi akun Anda diretas), bursa terpusat biasanya akan mengganti kerugian Anda. Program Keyless berbasis MPC terlihat sangat menjanjikan dan harus dipromosikan. Saya memiliki pengalaman yang baik dengan ZenGo, Fireblocks dan Safeheron. Keuntungannya jelas:

• Rekayasa algoritma MPC menjadi semakin matang pada blockchain terkenal, dan hanya perlu dilakukan untuk kunci pribadi.
• Satu set ide dapat memecahkan masalah berbagai blockchain yang memiliki skema multi-tanda tangan yang sangat berbeda, menciptakan pengalaman pengguna yang konsisten, yang sering kita sebut: multi-tanda tangan universal.
• Hal ini dapat memastikan bahwa kunci pribadi yang sebenarnya tidak pernah muncul dan menyelesaikan satu titik risiko melalui penghitungan multi-tanda tangan.
• Dikombinasikan dengan Cloud (atau teknologi Web2.0) membuat MPC tidak hanya aman tetapi juga menciptakan pengalaman yang baik.

Namun, masih terdapat beberapa kelemahan:

• Tidak semua proyek open source dapat memenuhi standar yang diterima industri. Lebih banyak pekerjaan perlu dilakukan.
• Banyak orang pada dasarnya hanya menggunakan Ethereum (atau blockchain berbasis EVM). Oleh karena itu, solusi multi-tanda tangan berdasarkan pendekatan kontrak pintar seperti Gnosis Safe sudah cukup.

Secara keseluruhan, apa pun alat yang Anda gunakan, selama Anda merasa aman dan terkendali serta memiliki pengalaman yang baik, alat tersebut adalah alat yang bagus.

Sejauh ini kita telah membahas apa yang perlu kita waspadai terkait pembuatan dompet. Masalah keamanan umum lainnya akan dibahas di bagian selanjutnya.

Cadangkan dompet Anda

Di sinilah banyak tangan bagus yang akan jatuh ke dalam perangkap, termasuk saya sendiri. Saya tidak membuat cadangan dengan benar dan saya tahu itu akan terjadi cepat atau lambat. Untungnya, itu bukan dompet dengan aset dalam jumlah besar dan teman-teman di SlowMist membantu saya memulihkannya. Tetap saja, itu adalah pengalaman menakutkan yang menurut saya tidak ingin dialami oleh siapa pun. Jadi bersiaplah dan mari pelajari cara mencadangkan dompet Anda dengan aman.

Frase Mnemonik / Kunci Pribadi

Ketika kita berbicara tentang mencadangkan dompet, pada dasarnya kita berbicara tentang mencadangkan frasa mnemonik (atau kunci pribadi. Untuk kenyamanan, kami akan menggunakan frasa mnemonik berikut ini). Kebanyakan frase mnemonik dapat dikategorikan sebagai berikut:

• Teks Biasa
• Dengan Kata Sandi
• Multi-tanda tangan
• Berbagi Rahasia Shamir, atau disingkat SSS

Saya akan menjelaskan secara singkat masing-masing jenisnya.

Teks Biasa, Teks biasa mudah dimengerti. Setelah Anda memiliki 12 kata bahasa Inggris tersebut, Anda memiliki aset di dompet. Anda dapat mempertimbangkan untuk melakukan pengacakan khusus, atau bahkan mengganti salah satu kata dengan kata lain. Keduanya akan meningkatkan kesulitan bagi peretas untuk meretas dompet Anda, namun, Anda akan sangat pusing jika lupa aturannya. Ingatanmu tidak tahan peluru. Percayalah, ingatan Anda akan kusut setelah beberapa tahun. Beberapa tahun yang lalu, ketika saya menggunakan dompet perangkat keras Ledger, saya mengubah urutan frasa mnemonik 24 kata. Setelah beberapa tahun, saya lupa pesanannya dan saya tidak yakin apakah saya telah mengganti satu kata pun. Seperti disebutkan sebelumnya, masalah saya diselesaikan dengan program pemecah kode khusus yang menggunakan kekerasan untuk menebak urutan dan kata yang benar.

Dengan Kata Sandi, Menurut standar, frasa mnemonik dapat memiliki kata sandi. Masih frase yang sama tetapi dengan password akan diperoleh frase seed yang berbeda. Frase benih digunakan untuk memperoleh serangkaian kunci privat, kunci publik, dan alamat terkait. Jadi, Anda tidak hanya harus membuat cadangan frasa mnemonik, tetapi juga kata sandinya. Omong-omong, kunci pribadi juga bisa memiliki kata sandi dan memiliki standarnya sendiri, seperti BIP 38 untuk bitcoin dan Keystore untuk ethereum.

Multi-Tanda Tangan, Seperti namanya, memerlukan tanda tangan dari banyak orang untuk mengakses dompet. Ini sangat fleksibel karena Anda dapat menetapkan aturan Anda sendiri. Misalnya, jika ada 3 orang yang memiliki kunci (kata mnemonik atau kunci pribadi), Anda dapat meminta setidaknya dua orang untuk masuk agar dapat mengakses dompet. Setiap blockchain memiliki solusi multi-tanda tangan masing-masing. Dompet Bitcoin paling terkenal mendukung multi-tanda tangan. Namun, di Ethereum, multi-tanda tangan terutama didukung melalui kontrak pintar, seperti Gnosis Safe. Selain itu, MPC, atau Secure Multi-Party Computation menjadi semakin populer.. Ini memberikan pengalaman yang mirip dengan multi-tanda tangan tradisional, tetapi dengan teknologi yang berbeda. Tidak seperti multi-tanda tangan, MPC adalah blockchain agnostik dan dapat bekerja dengan semua protokol.

SSS, Berbagi Rahasia Shamir, SSS memecah benih menjadi beberapa bagian (biasanya, setiap bagian berisi 20 kata). Untuk memulihkan dompet, sejumlah saham tertentu harus dikumpulkan dan digunakan. Untuk detailnya, lihat praktik terbaik industri di bawah ini:

https://support.keyst.one/advanced-features/recovery-phrase/import-or-create-shamir-backup
https://wiki.trezor.io/Shamir_backup

Menggunakan solusi seperti multi-tanda tangan dan SSS akan memberi Anda ketenangan pikiran dan menghindari risiko satu titik, namun hal ini dapat membuat pengelolaan menjadi relatif rumit dan terkadang banyak pihak yang terlibat. Selalu ada kompromi antara kenyamanan dan keamanan. Terserah individu untuk memutuskan tetapi jangan pernah malas dalam prinsip.

Enkripsi

Enkripsi adalah konsep yang sangat, sangat luas. Tidak masalah apakah enkripsinya simetris, asimetris, atau menggunakan teknologi canggih lainnya; selama pesan terenkripsi dapat dengan mudah didekripsi oleh Anda atau tim penanganan darurat Anda dengan mudah tetapi tidak dapat didekripsi oleh orang lain setelah beberapa dekade, maka ini adalah enkripsi yang baik.

Berdasarkan prinsip keamanan “zero trust”, ketika kita mencadangkan dompet, kita harus berasumsi bahwa langkah apa pun dapat diretas, termasuk lingkungan fisik seperti brankas. Ingatlah bahwa tidak ada orang lain selain diri Anda sendiri yang dapat dipercaya sepenuhnya. Bahkan, terkadang Anda bahkan tidak bisa mempercayai diri sendiri, karena ingatan Anda bisa saja memudar atau hilang pada tempatnya. Namun, saya tidak akan selalu membuat asumsi pesimistis, jika tidak maka akan membawa saya pada hasil yang tidak diinginkan.

Saat melakukan pencadangan, pertimbangan khusus harus diberikan pada pemulihan bencana. Tujuan utama pemulihan bencana adalah untuk menghindari satu titik risiko. Apa yang akan terjadi jika Anda pergi atau lingkungan tempat Anda menyimpan cadangan sedang tidak berfungsi? Oleh karena itu, untuk hal-hal penting harus ada petugas pemulihan bencana dan harus ada banyak cadangan.

Saya tidak akan menjelaskan terlalu jauh bagaimana memilih petugas pemulihan bencana karena itu tergantung pada siapa yang Anda percaya. Saya akan fokus pada cara melakukan multi-backup. Mari kita lihat beberapa bentuk dasar lokasi cadangan:

• Awan
• Kertas
• Perangkat
• Otak

Awan, Banyak orang tidak mempercayai cadangan di Cloud, mereka menganggapnya rentan terhadap serangan peretas. Pada akhirnya, yang terpenting adalah pihak mana – penyerang atau bertahan – yang memberikan upaya lebih besar, baik dari segi tenaga maupun anggaran. Secara pribadi, saya percaya pada layanan cloud yang didukung oleh Google, Apple, Microsoft, dll., karena saya tahu seberapa kuat tim keamanan mereka dan berapa banyak yang mereka habiskan untuk keamanan. Selain berjuang melawan peretas eksternal, saya juga sangat peduli dengan pengendalian risiko keamanan internal dan perlindungan data pribadi. Beberapa penyedia layanan yang saya percaya melakukan pekerjaan yang relatif lebih baik di bidang ini. Tapi tidak ada yang mutlak. Jika saya memilih salah satu layanan cloud ini untuk mencadangkan data penting (seperti dompet), saya pasti akan mengenkripsi dompet setidaknya sekali lagi.

Saya sangat merekomendasikan menguasai GPG. Ini dapat digunakan untuk “verifikasi tanda tangan”, dan sementara itu memberikan keamanan enkripsi dan dekripsi yang kuat. Anda dapat mempelajari lebih lanjut tentang GPG di:

https://www.ruanyifeng.com/blog/2013/07/gpg.html

Oke, Anda sudah menguasai GPG 🙂 Sekarang Anda telah mengenkripsi data terkait di dompet Anda (frasa mnemonik atau kunci pribadi) dengan GPG di lingkungan offline yang aman, kini Anda dapat membuang file terenkripsi langsung ke layanan cloud ini dan menyimpannya di sana. Semua akan baik baik saja. Namun saya perlu mengingatkan Anda di sini: jangan pernah kehilangan kunci pribadi GPG Anda atau lupa kata sandi kunci pribadi…

Pada titik ini, Anda mungkin merasa tingkat keamanan ekstra ini cukup merepotkan: Anda harus mempelajari tentang GPG dan membuat cadangan kunci pribadi dan kata sandi GPG Anda. Kenyataannya, jika Anda telah melakukan semua langkah di atas, Anda sudah terbiasa dengan prosesnya dan tidak akan menganggapnya sulit atau menyusahkan. Saya tidak akan berkata apa-apa lagi karena latihan membuat menjadi sempurna.

Jika Anda ingin menghemat tenaga, ada kemungkinan lain namun keamanannya mungkin diabaikan. Saya tidak dapat mengukur diskon pastinya tetapi terkadang saya malas saat menggunakan beberapa alat terkenal untuk mendapatkan bantuan. Alat itu adalah 1Password. Versi terbaru 1Password sudah mendukung penyimpanan langsung data terkait dompet, seperti kata mnemonik, kata sandi, alamat dompet, dll., yang nyaman bagi pengguna. Alat lain (seperti Bitwarden) dapat mencapai hal serupa, tetapi tidak senyaman itu.

Kertas, Banyak dompet perangkat keras dilengkapi dengan beberapa kartu kertas berkualitas tinggi tempat Anda dapat menuliskan frasa mnemonik Anda (dalam teks biasa, SSS, dll.). Selain kertas, ada juga yang menggunakan pelat baja (tahan api, tahan air, dan tahan korosi, tentunya saya belum mencobanya). Ujilah setelah Anda menyalin frasa mnemonik dan jika semuanya berfungsi, letakkan di tempat yang Anda rasa aman, seperti di brankas. Saya pribadi sangat suka menggunakan kertas karena jika disimpan dengan benar, kertas memiliki umur yang jauh lebih lama dibandingkan barang elektronik.

Perangkat, Ini mengacu pada semua jenis peralatan; elektronik adalah jenis cadangan yang umum, seperti komputer, iPad, iPhone, atau hard drive, dll, tergantung pada preferensi pribadi. Kita juga harus memikirkan transmisi yang aman antar perangkat. Saya merasa nyaman menggunakan metode peer-to-peer seperti AirDrop dan USB karena perantara sulit membajak prosesnya. Saya tentu saja tidak nyaman dengan kenyataan bahwa peralatan elektronik mungkin rusak setelah beberapa tahun, jadi saya menjaga kebiasaan memeriksa perangkat setidaknya setahun sekali. Ada beberapa langkah berulang (seperti enkripsi) yang dapat Anda rujuk ke bagian Cloud.

Otak, Mengandalkan ingatanmu itu mengasyikkan. Faktanya, setiap orang memiliki “istana kenangan” masing-masing. Memori tidaklah misterius dan dapat dilatih untuk bekerja lebih baik. Ada hal-hal tertentu yang memang lebih aman dengan ingatan. Apakah hanya mengandalkan otak atau tidak adalah pilihan pribadi. Namun perhatikan dua risiko: pertama, ingatan memudar seiring berjalannya waktu dan dapat menyebabkan kebingungan; risiko lainnya adalah Anda mungkin mengalami kecelakaan. Saya akan berhenti di sini dan membiarkan Anda menjelajah lebih jauh.

Sekarang Anda semua sudah dicadangkan. Jangan mengenkripsi terlalu banyak, jika tidak, Anda akan menderita sendiri setelah beberapa tahun. Sesuai dengan prinsip keamanan “verifikasi berkelanjutan”, metode enkripsi dan pencadangan Anda, baik berlebihan atau tidak, harus diverifikasi terus-menerus, baik secara berkala maupun acak. Frekuensi verifikasi bergantung pada memori Anda dan Anda tidak harus menyelesaikan seluruh proses. Selama prosesnya benar, verifikasi parsial juga berfungsi. Terakhir, kerahasiaan dan keamanan proses otentikasi juga perlu diperhatikan.

Oke, mari kita tarik napas dalam-dalam di sini. Memulai adalah bagian tersulit. Sekarang kamu sudah siap, ayo masuk ke hutan gelap ini 🙂

Cara menggunakan Dompet Anda

Setelah Anda membuat dan mencadangkan dompet Anda, inilah tantangan sebenarnya. Jika Anda tidak sering berpindah-pindah aset, atau Anda jarang berinteraksi dengan kontrak pintar DeFi, NFT, GameFi, atau Web3, istilah populer yang sering digunakan saat ini, aset Anda seharusnya relatif aman.

AML

Namun, “relatif aman” bukan berarti “tidak ada risiko sama sekali”. Sebab “kamu tidak pernah tahu mana yang lebih dulu, besok atau kecelakaan”, bukan?. Kenapa sih? Coba pikirkan, dari mana Anda mendapatkan mata uang kripto tersebut? Itu tidak datang begitu saja, bukan? Anda mungkin menemukan AML (Anti Pencucian Uang) pada semua mata uang kripto yang Anda dapatkan kapan saja. Artinya, mata uang kripto yang Anda pegang saat ini mungkin kotor, dan jika Anda tidak beruntung, mata uang tersebut bahkan mungkin langsung dibekukan di rantainya. Menurut laporan publik, Tether pernah membekukan beberapa aset USDT sesuai permintaan lembaga penegak hukum. Daftar dana yang dibekukan dapat dilihat di sini.

https://dune.xyz/phabc/usdt—banned-addresses

Anda dapat memverifikasi apakah suatu alamat dibekukan oleh Tether dari kontrak USDT.

https://etherscan.io/token/0xdac17f958d2ee523a2206206994597c13d831ec7#readContract

Gunakan alamat dompet target sebagai input int isBlackListed untuk memeriksa. Rantai lain yang menggunakan USDT memiliki cara verifikasi serupa.

Namun, BTC dan ETH Anda tidak boleh dibekukan. Jika hal ini terjadi suatu hari nanti, keyakinan akan desentralisasi juga akan runtuh. Sebagian besar kasus pembekuan aset mata uang kripto yang kami dengar saat ini sebenarnya terjadi di platform terpusat (seperti Binance, Coinbase, dll.) tetapi tidak di blockchain. Ketika mata uang kripto Anda tetap berada di platform Pertukaran Terpusat, Anda sebenarnya tidak memilikinya. Ketika platform terpusat membekukan akun Anda, mereka sebenarnya mencabut izin Anda untuk berdagang atau menarik dana. Konsep pembekuan bisa menyesatkan bagi pemula di bidang tersebut. Akibatnya, beberapa media mandiri yang ceroboh akan menyebarkan segala macam teori konspirasi tentang BitCoin.

Meskipun aset BTC dan ETH Anda tidak akan dibekukan di blockchain, bursa terpusat mungkin membekukan aset Anda sesuai dengan persyaratan AML setelah aset Anda ditransfer ke platform ini dan mereka terlibat dalam kasus terbuka yang sedang ditangani oleh penegak hukum.

Untuk menghindari masalah AML dengan lebih baik, selalu pilih platform dan individu dengan reputasi baik sebagai rekanan Anda. Sebenarnya ada beberapa solusi untuk masalah seperti ini. Misalnya, di Ethereum, hampir semua penjahat dan orang yang sangat peduli dengan privasi mereka menggunakan Tornado Cash untuk mencampur koin. Saya tidak akan menggali lebih jauh topik ini karena sebagian besar metode di sini digunakan untuk melakukan kejahatan.

Dompet Dingin

Ada berbagai cara untuk menggunakan dompet dingin. Dari sudut pandang dompet, ini dapat dianggap sebagai dompet dingin selama tidak terhubung ke jaringan apa pun. Tapi bagaimana cara menggunakannya saat offline? Pertama-tama, jika Anda hanya ingin menerima cryptocurrency, itu bukan masalah besar. Dompet dingin dapat memberikan pengalaman luar biasa dengan menggunakan dompet khusus jam tangan, seperti imToken, Trust Wallet, dll. Dompet ini dapat diubah menjadi dompet hanya jam tangan hanya dengan menambahkan alamat dompet target.

Jika kita ingin mengirim cryptocurrency menggunakan cold wallet, berikut cara yang paling umum digunakan:

• Kode QR
• USB
• Bluetooth

Semua ini memerlukan aplikasi khusus (disebut Aplikasi Ringan di sini) untuk bekerja dengan dompet dingin. Aplikasi Ringan akan online bersama dengan dompet khusus Jam Tangan yang disebutkan di atas. Setelah kita memahami prinsip esensial yang mendasarinya, kita seharusnya mampu memahami pendekatan-pendekatan ini. Prinsip pentingnya adalah: pada akhirnya, ini hanyalah masalah mencari tahu cara menyiarkan konten yang ditandatangani ke dalam blockchain. Proses detailnya adalah sebagai berikut:

• Konten yang akan ditandatangani dikirimkan oleh Aplikasi Ringan ke Cold Wallet melalui salah satu cara berikut.
• Tanda tangan diproses oleh dompet dingin yang memiliki kunci pribadi dan kemudian dikirimkan kembali ke Aplikasi Ringan menggunakan cara yang sama
• Light App menyiarkan konten yang ditandatangani di blockchain.

Jadi apapun metode yang digunakan, kode QR, USB atau Bluetooth, harus mengikuti proses di atas. Tentu saja, detailnya mungkin berbeda untuk setiap metode. Misalnya kode QR memiliki kapasitas informasi yang terbatas, sehingga jika data tanda tangan terlalu besar, kita harus membaginya.

Tampaknya agak merepotkan, tetapi akan lebih baik jika Anda terbiasa. Anda bahkan akan merasakan rasa aman sepenuhnya. Namun jangan anggap 100% aman karena disini masih ada resiko dan banyak kasus kerugian besar karena resiko tersebut. Berikut poin risikonya:

• Alamat tujuan transfer koin tidak diperiksa dengan cermat sehingga mengakibatkan koin tersebut ditransfer ke orang lain. Kadang-kadang orang malas dan ceroboh. Misalnya, seringkali mereka hanya memeriksa bagian awal dan akhir alamat dompet daripada memeriksa seluruh alamat secara keseluruhan. Hal ini menyisakan pintu belakang bagi orang-orang jahat. Mereka akan menjalankan program untuk mendapatkan alamat dompet dengan beberapa bit pertama dan terakhir yang sama dengan alamat target yang Anda inginkan dan kemudian mengganti alamat target transfer koin Anda dengan alamat yang berada di bawah kendali mereka menggunakan beberapa trik.
• Koin diotorisasi ke alamat yang tidak diketahui. Biasanya otorisasi adalah mekanisme token kontrak pintar Ethereum, fungsi “setujui”, dengan satu argumen sebagai alamat otorisasi target dan argumen lainnya sebagai kuantitas. Banyak orang tidak memahami mekanisme ini, sehingga mereka mungkin mengotorisasi token dalam jumlah tidak terbatas ke alamat target, dan pada saat itu alamat target memiliki izin untuk mentransfer semua token tersebut. Ini disebut pencurian koin resmi, dan ada varian lain dari teknik ini, namun saya tidak akan memperluasnya di sini.
• Beberapa tanda tangan yang tampaknya tidak penting sebenarnya memiliki jebakan besar di belakangnya, dan saya tidak akan membahasnya sekarang, tetapi akan menjelaskan detailnya nanti.
• Dompet dingin mungkin tidak memberikan cukup informasi yang diperlukan, sehingga menyebabkan Anda ceroboh dan salah menilai.

Semuanya bermuara pada dua poin:

• Mekanisme keamanan interaksi pengguna “Apa yang Anda lihat adalah apa yang Anda tandatangani” tidak ada.
• Kurangnya latar belakang pengetahuan pengguna yang relevan.

Dompet Panas

Dibandingkan dengan dompet dingin, dompet panas pada dasarnya memiliki semua risiko yang dimiliki dompet dingin. Ditambah lagi, ada satu lagi: risiko pencurian frase rahasia (atau kunci pribadi). Pada titik ini ada lebih banyak masalah keamanan yang perlu dipertimbangkan dengan hot wallet, seperti keamanan lingkungan runtime. Jika ada virus yang terkait dengan lingkungan runtime, maka ada risiko dicuri. Ada juga dompet panas yang memiliki kerentanan tertentu sehingga frasa rahasia dapat langsung dicuri.

Selain fungsi transfer koin biasa, jika Anda ingin berinteraksi dengan DApps lain (DeFi, NFT, GameFi, dll.), Anda harus mengaksesnya langsung dengan browser Anda sendiri atau berinteraksi dengan DApps yang dibuka di browser PC Anda melalui protokol WalletConnect.

Catatan: Referensi DApps dalam buku pegangan ini merujuk secara default ke proyek kontrak pintar yang berjalan di blockchain Ethereum.

Secara default, interaksi seperti itu tidak mengarah pada pencurian frase rahasia, kecuali ada masalah dengan desain keamanan dompet itu sendiri. Dari audit keamanan dan riwayat penelitian keamanan kami, terdapat risiko frasa rahasia dompet dicuri langsung oleh JavaScript berbahaya di halaman target. Namun, ini adalah kasus yang jarang terjadi, karena sebenarnya ini adalah kesalahan tingkat sangat rendah yang tidak mungkin dilakukan oleh dompet terkenal mana pun.

Tak satu pun dari hal ini yang benar-benar menjadi kekhawatiran saya di sini, hal tersebut dapat ditangani oleh saya (dan untuk Anda juga). Kekhawatiran/kekhawatiran terbesar saya adalah: bagaimana setiap iterasi dompet terkenal memastikan tidak ada kode berbahaya atau pintu belakang yang ditanam? Implikasi dari pertanyaan ini jelas: Saya memverifikasi bahwa versi dompet saat ini tidak memiliki masalah keamanan dan saya merasa nyaman menggunakannya, namun saya tidak tahu seberapa aman versi berikutnya. Lagi pula, saya atau tim keamanan saya tidak punya banyak waktu dan tenaga untuk melakukan semua verifikasi.

Ada beberapa insiden pencurian koin yang disebabkan oleh kode berbahaya atau pintu belakang seperti yang dijelaskan di sini, seperti CoPay, AToken, dll. Anda dapat mencari sendiri insiden spesifiknya.

Dalam hal ini, ada beberapa cara untuk berbuat jahat:

• Saat dompet berjalan, kode berbahaya mengemas dan mengunggah frasa rahasia yang relevan langsung ke server yang dikendalikan peretas.
• Saat dompet berjalan dan pengguna memulai transfer, informasi seperti alamat target dan jumlah secara diam-diam diganti di backend dompet, dan sulit bagi pengguna untuk menyadarinya.
• Merusak nilai entropi angka acak yang terkait dengan pembuatan frasa rahasia, yang membuatnya relatif mudah untuk diuraikan.

Keamanan adalah sesuatu yang tidak diketahui dan diketahui, dan ada banyak hal yang dapat dengan mudah diabaikan atau dilewatkan. Jadi untuk dompet yang menyimpan aset penting, aturan keamanan saya juga sederhana: tidak ada pembaruan yang mudah jika sudah cukup untuk digunakan.

Apa itu Keamanan DeFi

Ketika kita berbicara tentang DApp, bisa berupa DeFi, NFT atau GameFi dll. Dasar-dasar keamanannya sebagian besar sama, tetapi memiliki spesifikasinya masing-masing. Pertama mari kita ambil DeFi sebagai contoh untuk menjelaskannya. Ketika kita berbicara tentang keamanan DeFi, apa sebenarnya yang kita maksud? Orang-orang di industri ini hampir selalu hanya melihat kontrak pintar. Tampaknya ketika kontrak pintar bagus, semuanya akan baik-baik saja. Sebenarnya, ini jauh dari benar.

Keamanan DeFi setidaknya mencakup komponen berikut:

• Keamanan Kontrak Cerdas
• Keamanan Yayasan Blockchain
• Keamanan Bagian Depan
• Keamanan Komunikasi
• Keamanan Manusia
• Keamanan keuangan
• Keamanan Kepatuhan

Keamanan Kontrak Cerdas

Keamanan kontrak pintar memang merupakan titik masuk paling penting untuk audit keamanan, dan standar audit keamanan SlowMist untuk kontrak pintar dapat ditemukan di:

https://www.slowmist.com/service-smart-contract-security-audit.html

Untuk pemain tingkat lanjut, jika keamanan bagian kontrak pintar itu sendiri dapat dikontrol (apakah mereka dapat mengaudit dirinya sendiri atau memahami laporan audit keamanan yang dikeluarkan oleh organisasi profesional), maka tidak masalah jika bagian lainnya aman. Dapat dikontrol adalah konsep yang rumit, beberapa di antaranya bergantung pada kekuatan pemain itu sendiri. Misalnya, pemain memiliki persyaratan tertentu sehubungan dengan risiko dari otoritas kontrak pintar yang berlebihan. Jika proyek itu sendiri kuat dan orang-orang di belakangnya mempunyai reputasi yang baik, sentralisasi penuh tidak akan menjadi masalah. Namun, untuk proyek-proyek yang kurang terkenal, kontroversial, atau sedang berkembang, jika Anda menyadari bahwa kontrak pintar proyek tersebut memiliki risiko izin yang berlebihan, terutama jika izin tersebut juga dapat memengaruhi pokok atau penghasilan Anda, Anda pasti akan enggan.

Risiko izin yang berlebihan sangat kecil. Dalam banyak kasus, admin proyek bertanggung jawab untuk melakukan tata kelola yang relevan dan kontinjensi risiko. Namun bagi pengguna, ini adalah ujian terhadap sifat manusia. Bagaimana jika tim memutuskan untuk melakukan kejahatan? Jadi ada praktik trade-off di industri ini: menambahkan Timelock untuk mengurangi risiko izin yang berlebihan, misalnya:

Compound, sebuah proyek DeFi yang mapan dan terkenal, modul kontrak pintar inti Pengawas Keuangan dan Tata Kelola, keduanya memiliki mekanisme Timelock yang ditambahkan ke izin adminnya:
Pengawas Keuangan(0x3d9819210a31b4961b30ef54be2aed79b9c9cd3b)
Tata Kelola(0xc0da02939e1441f497fd74f78ce7decb17b66529)
Admin 2 modul ini adalah
Kunci Waktu(0x6d903f6003cca6255d85cca4d3b5e5146dc33925)

Anda dapat langsung mengetahui secara rantai bahwa Timelock (variabel penundaan) adalah 48 jam (172.800 detik):

Artinya, jika admin Compound perlu mengubah beberapa variabel kunci dari kontrak pintar target, transaksi akan dicatat setelah dimulai pada blockchain, namun 48 jam harus menunggu sebelum transaksi dapat diselesaikan dan dieksekusi. Artinya, jika mau, Anda dapat mengaudit setiap operasi dari admin, dan Anda memiliki waktu setidaknya 48 jam untuk bertindak. Misalnya, jika Anda tidak yakin, Anda dapat menarik dana Anda dalam waktu 48 jam.

Cara lain untuk memitigasi risiko izin admin yang berlebihan adalah dengan menambahkan multi-signature, seperti menggunakan Gnosis Safe untuk pengelolaan multisig, sehingga setidaknya tidak ada diktator. Perlu dicatat di sini bahwa multisig bisa menjadi “baju baru kaisar”. Misalnya, satu orang mungkin memegang banyak kunci. Oleh karena itu, strategi multisig dari proyek sasaran perlu dinyatakan dengan jelas. Siapa yang memegang kunci, dan identitas masing-masing pemegang kunci harus mempunyai reputasi baik.

Perlu disebutkan di sini bahwa strategi keamanan apa pun dapat mengarah pada masalah “pakaian baru kaisar”, yang mana strategi tersebut mungkin tampak dilakukan dengan baik, namun kenyataannya tidak, sehingga menghasilkan ilusi keamanan. Ambil contoh lain, Timelock terlihat bagus di atas kertas. Sebenarnya, ada beberapa kasus di mana Timelock yang diterapkan oleh beberapa proyek memiliki pintu belakang. Umumnya, pengguna tidak melihat kode sumber Timelock, dan mereka belum tentu memahaminya meskipun mereka melakukannya, jadi admin memasang pintu belakang di sana, dan tidak ada yang akan menyadarinya untuk waktu yang cukup lama.

Selain risiko izin yang berlebihan, elemen keamanan kontrak pintar lainnya juga penting. Namun, saya tidak akan memperluasnya di sini, dengan mempertimbangkan prasyarat pemahaman. Inilah saran saya: Anda setidaknya harus belajar membaca laporan audit keamanan, dan latihan akan menjadi sempurna.

Keamanan Yayasan Blockchain

Keamanan dasar Blockchain mengacu pada keamanan blockchain itu sendiri, seperti keamanan buku besar konsensus, keamanan mesin virtual, dll. Jika keamanan blockchain itu sendiri mengkhawatirkan, proyek kontrak pintar yang berjalan pada rantai tersebut akan terkena dampak langsung. Sangat penting untuk memilih blockchain dengan mekanisme keamanan dan reputasi yang memadai, dan lebih baik dengan kemungkinan umur panjang yang lebih tinggi.

Keamanan Bagian Depan

Keamanan frontend benar-benar buruk. Itu terlalu dekat dengan pengguna, dan sangat mudah untuk membodohi pengguna hingga menipu. Mungkin fokus utama setiap orang adalah pada keamanan dompet dan kontrak pintar, sehingga keamanan frontend mudah diabaikan. Saya ingin menekankan lagi bahwa keamanan frontend adalah iblis! Izinkan saya menggali lebih dalam.

Kekhawatiran terbesar saya mengenai keamanan frontend adalah: Bagaimana saya tahu bahwa kontrak yang saya gunakan untuk berinteraksi dari halaman frontend khusus ini adalah kontrak pintar yang saya harapkan?

Ketidakamanan ini terutama disebabkan oleh dua faktor:

• Dalam pekerjaan
• Pihak ketiga

Sangat mudah untuk memahami pekerjaan orang dalam. Misalnya, pengembang secara diam-diam mengganti alamat kontrak pintar target di halaman depan dengan alamat kontrak yang memiliki pintu belakang, atau menanam skrip otorisasi phishing. Saat Anda mengunjungi halaman frontend yang dicurangi ini, serangkaian operasi selanjutnya yang melibatkan kripto di dompet Anda mungkin dilakukan secara jebakan. Sebelum Anda menyadarinya, koin-koin itu sudah hilang.

Pihak ketiga terutama mengacu pada dua jenis:

• Salah satunya adalah rantai ketergantungan yang disusupi. Misalnya, ketergantungan pihak ketiga yang digunakan oleh halaman frontend memiliki pintu belakang yang menyelinap ke halaman frontend target bersama dengan pengemasan dan rilis. Berikut adalah struktur ketergantungan paket SushiSwap (sebagai ilustrasi saja, bukan berarti proyek di tangkapan layar mengalami masalah seperti itu):
  

• Contoh lainnya adalah file JavaScript jarak jauh pihak ketiga yang diimpor oleh halaman frontend. Jika file JavaScript ini diretas, kemungkinan halaman frontend target juga terpengaruh, seperti OpenSea (sebagai ilustrasi saja, bukan berarti proyek di tangkapan layar mengalami masalah seperti itu):
  

Alasan mengapa kami mengatakan hal ini mungkin terjadi namun belum pasti adalah karena risikonya dapat dikurangi jika pengembang merujuk ke file JavaScript jarak jauh pihak ketiga di halaman frontend dengan cara berikut:

<script src=”https://example.com/example-framework.js” integritas=”sha384-Li9vy3DqF8tnTXuiaAJuML3ky+er10rcgNR/VqsVpcw+ThHmYcwiB1pbOxEbzJr7″ crossorigin=”anonim”>

Poin kuncinya di sini adalah mekanisme keamanan HTML5 yang bagus: atribut integritas dalam tag (mekanisme SRI). integritas mendukung SHA256, SHA384 dan SHA512. Jika file JavaScript pihak ketiga tidak memenuhi pemeriksaan integritas hash, file tidak akan dimuat. Ini bisa menjadi cara yang baik untuk mencegah eksekusi kode yang tidak diinginkan. Namun, pemanfaatan mekanisme ini memerlukan sumber daya target untuk mendukung respons CORS. Untuk detailnya, lihat berikut ini:

https://developer.mozilla.org/zh-CN/docs/Web/Security/Subresource_Integrity

Keamanan Komunikasi

Mari fokus pada keamanan HTTPS di bagian ini. Pertama, situs web target harus menggunakan HTTPS, dan transmisi teks biasa HTTP tidak boleh diizinkan. Hal ini karena transmisi teks biasa HTTP terlalu mudah untuk dibajak oleh serangan man-in-the-middle. Saat ini HTTPS sangat umum sebagai protokol transmisi yang aman. Jika ada serangan man-in-the-middle pada HTTPS, dan penyerang telah menyuntikkan JavaScript berbahaya ke front-end aplikasi web, peringatan kesalahan sertifikat HTTPS yang sangat jelas akan ditampilkan di browser pengguna.

Mari kita gunakan kejadian MyEtherWallet sebagai contoh untuk menggambarkan hal ini.

MyEtherWallet dulunya adalah dompet aplikasi web yang sangat populer, dan hingga saat ini masih sangat terkenal. Namun ini bukan lagi sekadar dompet aplikasi web. Seperti disebutkan sebelumnya, saya sangat tidak menyarankan penggunaan dompet aplikasi web karena alasan keamanan. Selain berbagai masalah keamanan front-end, pembajakan HTTPS juga mempunyai potensi risiko yang besar.

Pada tanggal 24 April 2018, terjadi insiden keamanan besar berupa pembajakan HTTPS di MyEtherWallet. Rekap kejadiannya bisa dilihat di sini:

https://www.reddit.com/r/MyEtherWallet/comments/8eloo9/official_statement_regarding_dns_spoofing_of/
https://www.reddit.com/r/ethereum/comments/8ek86t/warning_myetherwalletcom_highjacked_on_google/

Dalam serangan tersebut, peretas membajak layanan DNS (Google Public DNS) yang digunakan oleh sejumlah besar pengguna MyEtherWallet melalui BGP, sebuah protokol perutean kuno, yang secara langsung menyebabkan tampilan peringatan kesalahan HTTPS di setiap browser pengguna ketika mereka mencoba mengunjungi Situs web MyEtherWallet. Faktanya, pengguna harus berhenti ketika mereka melihat peringatan ini, karena pada dasarnya ini menunjukkan bahwa halaman web target telah dibajak. Namun kenyataannya, banyak pengguna dengan cepat mengabaikan peringatan tersebut dan terus melanjutkan interaksi mereka dengan situs yang dibajak, karena mereka sama sekali tidak memahami risiko keamanan di balik peringatan kesalahan HTTPS.

Karena halaman web target telah dibajak dan peretas telah menyuntikkan JavaScript berbahaya di sana, berdasarkan interaksi pengguna, peretas akan berhasil mencuri kunci pribadi teks biasa mereka dan mentransfer dana mereka (kebanyakan ETH).

Ini jelas merupakan kasus klasik di mana peretas menggunakan teknik pembajakan BGP untuk mencuri kripto. Itu berlebihan. Setelah itu masih banyak lagi kasus serupa yang terjadi, dan saya tidak akan menyebutkannya secara detail di sini. Bagi pengguna hanya ada satu hal yang benar-benar perlu diperhatikan: jika Anda memutuskan untuk menggunakan dompet aplikasi web, atau mencoba berinteraksi dengan DApp, selalu pastikan Anda menghentikan dan menutup halaman setiap kali Anda melihat peringatan kesalahan sertifikat HTTPS! Dan dana Anda akan baik-baik saja. Ada kenyataan kejam dalam keamanan: ketika ada risiko, jangan berikan pilihan apa pun kepada pengguna. Seolah-olah Anda melakukannya, akan selalu ada pengguna yang jatuh ke dalam perangkap karena alasan apa pun. Faktanya, tim proyek perlu mengambil tanggung jawab. Saat ini, sudah ada solusi keamanan yang sangat efektif untuk masalah pembajakan HTTPS yang disebutkan di atas: tim proyek perlu mengonfigurasi HSTS dengan benar. HSTS adalah singkatan dari HTTP Strict Transport Security; ini adalah mekanisme kebijakan keamanan web yang didukung oleh sebagian besar browser modern. Jika HSTS diaktifkan, jika terjadi kesalahan sertifikat HTTPS, browser akan memaksa pengguna untuk berhenti mengakses aplikasi web target dan pembatasan tidak dapat dilewati. Sekarang Anda mengerti maksud saya?

Keamanan Alam Manusia

Bagian ini mudah dimengerti. Misalnya tim proyek berpikiran jahat dan bertindak tidak jujur. Saya telah menyebutkan beberapa konten yang relevan di bagian sebelumnya, jadi di sini saya tidak akan membahas lebih detail. Lebih banyak lagi yang akan dibahas di bagian selanjutnya.

Keamanan keuangan

Keamanan Finansial harus sangat dihormati. Di DeFi, pengguna sangat memperhatikan harga dan pengembalian token. Mereka menginginkan laba atas investasi yang unggul, atau setidaknya stabil. Dengan kata lain, sebagai pengguna, saya memainkan permainan untuk menang dan jika saya kalah, setidaknya saya harus yakin bahwa ini adalah permainan yang adil. Ini hanyalah sifat manusia.

Keamanan finansial di DeFi rentan terhadap serangan berupa:

• Praktik peluncuran yang tidak adil seperti pra-penambangan atau pra-penjualan;
• Serangan paus kripto;
• Pompa dan buang;
• Peristiwa angsa hitam, seperti air terjun pasar yang tiba-tiba; atau katakanlah ketika satu protokol DeFi disarangkan atau dioperasikan dengan DeFi/Token lain, keamanan/keandalannya akan sangat bergantung pada protokol lain
• Serangan teknis lainnya atau yang kita sebut dengan teknik ilmiah seperti front running, sandwich Attack, Flash Loan Attack, dll

Persyaratan Kepatuhan

Persyaratan kepatuhan adalah topik yang sangat besar, AML (Anti Pencucian Uang) yang disebutkan sebelumnya hanyalah salah satu poinnya. Ada juga aspek seperti KYC (Kenali Pelanggan Anda), sanksi, risiko sekuritas, dll. Sebenarnya bagi kami pengguna, hal ini bukanlah sesuatu yang berada di bawah kendali kami. Saat kami berinteraksi dengan proyek tertentu, karena proyek tersebut mungkin tunduk pada peraturan terkait di negara tertentu, informasi privasi kami mungkin dikumpulkan. Anda mungkin tidak peduli dengan masalah privasi seperti itu, tetapi ada orang yang peduli.

Misalnya, di awal tahun 2022 terjadi insiden kecil: beberapa dompet memutuskan untuk mendukung protokol Address Ownership Proof Protocol (AOPP):

Saya melihat desain protokolnya, ternyata dompet yang mendukung AOPP bisa saja membocorkan privasi pengguna. Regulator mungkin mengetahui interkoneksi antara pertukaran kripto yang diatur dan alamat dompet eksternal yang tidak diketahui.

https://gitlab.com/aopp/address-ownership-proof-protocol

Tidak heran banyak dompet yang berorientasi privasi sangat memperhatikan masukan pengguna dan dengan cepat menghapus dukungan AOPP dari produk mereka. Tapi sejujurnya: Desain protokolnya cukup menarik. Saya perhatikan bahwa beberapa dompet tidak berencana menghapus dukungan untuk AOPP, seperti EdgeWallet. Pendapat mereka adalah bahwa AOPP tidak serta merta mengekspos lebih banyak privasi pengguna, sebaliknya justru membantu meningkatkan sirkulasi mata uang kripto. Di banyak bursa kripto yang diatur, pengguna tidak diperbolehkan menarik diri ke alamat dompet eksternal tertentu, sebelum ia dapat membuktikan kepemilikannya atas alamat tersebut.

Pada awalnya, dompet perangkat keras terkenal Trezor menolak untuk menghapus dukungan AOPP. Namun kemudian terpaksa berkompromi dan melakukannya karena tekanan dari komunitas dan pengguna Twitter.

Seperti yang Anda lihat, ini adalah insiden kecil tetapi bagi sebagian orang, privasi sangatlah penting. Hal ini bukan berarti kita harus melanggar peraturan dan mengabaikan persyaratan kepatuhan. Faktanya, saya yakin perlu adanya kompromi pada tingkat tertentu terhadap persyaratan kepatuhan. Kami tidak akan mendalami topik ini lebih dalam lagi, silakan cerna isinya dengan cara Anda sendiri.

Sejauh ini, kami telah membahas sebagian besar konten di bagian Keamanan DeFi.

Terlebih lagi, ada juga masalah keamanan yang disebabkan oleh penambahan atau pembaruan di masa mendatang. Kita sering mengatakan “postur keamanan itu dinamis, bukan statis”. Misalnya saat ini sebagian besar tim proyek melakukan audit keamanan dan menampilkan laporan audit keamanan yang bersih. Jika Anda pernah membaca laporan berkualitas baik dengan cermat, Anda akan melihat bahwa laporan ini akan dengan jelas menjelaskan cakupan, jangka waktu, dan pengidentifikasi unik dari konten yang diaudit (misalnya alamat kontrak pintar sumber terbuka yang terverifikasi, atau alamat penerapan di repo GitHub, atau hash dari file kode sumber target). Artinya, laporan tersebut statis, tetapi jika dalam suatu proyek Anda mengamati adanya penyimpangan dari apa yang disebutkan dalam laporan, Anda dapat menunjukkannya.

Keamanan NFT

Semua konten keamanan DeFi yang disebutkan sebelumnya dapat diterapkan pada keamanan NFT, dan NFT sendiri memiliki beberapa topik keamanan yang sangat spesifik dan unik, misalnya:

• Keamanan metadata
• Keamanan tanda tangan

Metadata merujuk terutama pada gambar yang tertanam, gambar bergerak dan konten lainnya. Disarankan untuk merujuk ke OpenSea pada standar spesifik:

https://docs.opensea.io/docs/metadata-standards

Ada dua masalah keamanan utama yang mungkin timbul di sini:

• Salah satunya adalah URI tempat gambar (atau film) berada mungkin tidak dapat dipercaya. Bisa saja berupa layanan terpusat yang dipilih secara acak, di satu sisi tidak ada jaminan ketersediaan, di sisi lain tim proyek bisa memodifikasi gambar sesuka hati, sehingga NFT tidak lagi menjadi “koleksi digital” yang tidak dapat diubah. Umumnya disarankan untuk menggunakan solusi penyimpanan terpusat seperti IPFS, Arweave, dan pilih layanan gateway URI yang terkenal.
• Potensi lainnya adalah potensi kebocoran privasi. Layanan URI yang dipilih secara acak mungkin menangkap informasi dasar pengguna (seperti IP, Agen-Pengguna, dll)

Keamanan penandatanganan adalah masalah besar lainnya di sini, dan kami akan mengilustrasikannya di bawah.

HATI-HATI Dengan Penandatanganan!

Keamanan tanda tangan adalah sesuatu yang ingin saya sebutkan secara spesifik karena ada BANYAK kendala dan Anda harus selalu berhati-hati. Ada beberapa kejadian terutama pada perdagangan NFT. Namun, saya memperhatikan bahwa tidak banyak orang yang memahami cara mempersiapkan dan menangani masalah keamanan tersebut. Alasan mendasarnya adalah hanya sedikit orang yang pernah menjelaskan masalahnya dengan cukup jelas.

Prinsip keamanan NO.1 dan terpenting dalam keamanan tanda tangan adalah: Apa yang Anda lihat adalah apa yang Anda tandatangani. Artinya, pesan dalam permintaan tanda tangan yang Anda terima adalah apa yang Anda harapkan setelah penandatanganan. Setelah Anda menandatanganinya, hasilnya harus seperti yang Anda harapkan, bukan sesuatu yang akan Anda sesali.

Beberapa rincian keamanan tanda tangan telah disebutkan di bagian “Dompet Dingin”. Jika Anda tidak dapat mengingatnya, saya sarankan Anda mengunjungi kembali bagian itu. Pada bagian ini, kami akan fokus pada aspek lainnya.

Ada beberapa peretasan NFT yang terkenal di OpenSea sekitar tahun 2022. Pada tanggal 20 Februari 2022, terjadi wabah besar. Akar penyebabnya adalah:

• Pengguna menandatangani permintaan daftar NFT di OpenSea.
• Peretas melakukan phishing untuk mendapatkan tanda tangan yang relevan dari pengguna.

Sebenarnya tidak sulit bagi peretas untuk mendapatkan tanda tangan terkait. Peretas perlu 1). menyusun pesan yang akan ditandatangani, 2). hash itu, 3). mengelabui pengguna target untuk menandatangani permintaan (ini akan menjadi penandatanganan buta, yang berarti pengguna tidak benar-benar tahu apa yang mereka tandatangani), 4). dapatkan konten yang ditandatangani dan buat datanya. Pada titik ini, pengguna telah diretas.

Saya akan menggunakan Opensea sebagai contoh (pada kenyataannya, ini bisa berupa pasar NFT APAPUN). Setelah pengguna target mengotorisasi operasi pencatatan NFT di pasar, peretas akan membuat pesan untuk ditandatangani. Setelah melakukan hashing dengan Keccak256, permintaan tanda tangan akan muncul di halaman phishing. Pengguna akan melihat sesuatu seperti berikut:

Perhatikan baik-baik. Informasi apa saja yang bisa kita peroleh dari jendela popup MetaMask ini? Info Akun dan saldo akun, situs web sumber asal permintaan tanda tangan, pesan yang akan ditandatangani pengguna dan…tidak ada yang lain. Bagaimana pengguna bisa curiga bahwa bencana sedang terjadi? Dan bagaimana mereka bisa menyadari bahwa begitu mereka mengklik tombol “Tanda Tangan”, NFT mereka akan dicuri.

Ini sebenarnya adalah contoh penandatanganan buta. Pengguna tidak diharuskan masuk ke pasar NFT. Sebaliknya, pengguna dapat tertipu ke situs web phishing mana pun untuk menandatangani pesan tanpa sepenuhnya memahami arti sebenarnya dan konsekuensi dari tanda tangan tersebut. Sayangnya, peretas mengetahuinya. Sebagai pengguna, perlu diingat: JANGAN PERNAH BLIND SIGN APA PUN. OpenSea dulunya mempunyai masalah penandatanganan buta, dan mereka memperbaikinya dengan mengadopsi EIP-712 setelah 20 Februari 2022. Namun, tanpa penandatanganan buta, pengguna masih bisa ceroboh dan diretas dengan cara lain.

Alasan paling penting mengapa hal ini terjadi adalah penandatanganan tidak dibatasi untuk mengikuti kebijakan asal yang sama pada browser. Anda dapat memahaminya sebagai berikut: kebijakan asal yang sama dapat memastikan bahwa suatu tindakan hanya terjadi pada domain tertentu dan tidak akan melintasi domain, kecuali tim proyek dengan sengaja menginginkan terjadinya penyeberangan domain. Jika penandatanganan mengikuti kebijakan asal yang sama, bahkan jika pengguna menandatangani permintaan tanda tangan yang dihasilkan oleh domain non-target, peretas tidak dapat menggunakan tanda tangan tersebut untuk menyerang di bawah domain target. Saya akan berhenti di sini sebelum membahas lebih detail. Saya telah memperhatikan usulan baru mengenai peningkatan keamanan di tingkat protokol, dan saya berharap situasi ini dapat diperbaiki secepatnya.

Kami telah menyebutkan sebagian besar format serangan utama yang dapat terjadi saat menandatangani pesan, namun sebenarnya ada beberapa varian. Betapapun berbedanya penampilan mereka, mereka mengikuti pola yang serupa. Cara terbaik untuk memahaminya adalah dengan mereproduksi sendiri serangan dari awal hingga akhir, atau bahkan membuat beberapa metode serangan unik. Misalnya, serangan permintaan tanda tangan yang disebutkan di sini sebenarnya berisi banyak detail, seperti bagaimana membuat pesan yang akan ditandatangani, dan apa yang sebenarnya dihasilkan setelah penandatanganan? Apakah ada metode otorisasi selain “Setujui” (ya, misalnya: peningkatan Tunjangan). Ya, akan terlalu teknis jika kita memperluasnya di sini. Hal baiknya adalah Anda sudah memahami pentingnya menandatangani pesan.

Pengguna dapat mencegah serangan tersebut pada sumbernya dengan membatalkan otorisasi/persetujuan. Berikut ini adalah beberapa alat terkenal yang dapat Anda gunakan.

• Persetujuan Token

  https://etherscan.io/tokenapprovalchecker
  Ini adalah alat untuk pemeriksaan otorisasi dan pembatalan yang disediakan oleh browser resmi Ethereum. Blockchain lain yang kompatibel dengan EVM memiliki sesuatu yang serupa karena browser blockchain mereka pada dasarnya dikembangkan oleh Etherscan. Misalnya:
  https://bscscan.com/tokenapprovalchecker
  https://hecoinfo.com/tokenapprovalchecker
  https://polygonscan.com/tokenapprovalchecker
  https://snowtrace.io/tokenapprovalchecker
  https://cronoscan.com/tokenapprovalchecker

• Cabut.cash

  https://revoke.cash/
  Sekolah super tua dengan ketenaran yang bagus & Pendukung Multi-rantai dengan kekuatan yang semakin meningkat

• Dompet ekstensi Rabby

  https://rabby.io/
  Salah satu dompet yang sering kami kolaborasi. Jumlah blockchain yang kompatibel dengan EVM di mana mereka menyediakan fungsi “pemeriksaan dan pembatalan otorisasi” adalah yang terbanyak yang pernah saya lihat

⚠️Catatan: Jika anda ingin pemahaman yang lebih menyeluruh dan mendalam mengenai SIGNATURE SECURITY, silahkan cek extension pada penambahan repositori berikut ini sebagai referensi:

https://github.com/evilcos/darkhandbook
Memang benar bahwa pengetahuan tentang KEAMANAN TANDA TANGAN cukup menantang bagi pemula. Repositori mengkompilasi konten yang relevan, dan membacanya dengan cermat akan membantu Anda memahami pengetahuan keamanan. Dengan demikian, Anda tidak akan kesulitan lagi. (Jika Anda bisa membaca dan memahami semuanya, saya yakin pengetahuan keamanan tidak lagi sulit bagi Anda 🙂

HATI-HATI Dengan Permintaan Tanda Tangan yang Kontra-intuitif!

Saya ingin menyebutkan secara khusus risiko lain: risiko kontra-intuitif.

Apa itu kontra-intuitif? Misalnya, Anda sudah sangat familiar dengan Ethereum, dan telah menjadi OG dari semua jenis DeFi dan NFT. Saat pertama kali memasuki ekosistem Solana, Anda mungkin akan menemukan beberapa situs phishing serupa. Anda mungkin merasa sangat siap sehingga Anda mulai berpikir, “Saya telah melihatnya ribuan kali di ekosistem Ethereum dan bagaimana saya bisa tertipu?”

Sementara itu, peretas akan senang karena Anda sudah tertipu. Orang-orang mengikuti perasaan intuitif mereka yang membuat mereka ceroboh. Ketika terjadi serangan balasan, orang-orang akan jatuh ke dalam perangkap.

Oke, mari kita lihat kasus nyata yang memanfaatkan kontra-intuitif.

Pertama-tama, sebuah peringatan: Otorisasi phishing di Solana jauh lebih kejam. Contoh di atas terjadi pada tanggal 5 Maret 2022. Penyerang mengirimkan NFT ke pengguna secara berkelompok (Gambar 1). Pengguna memasuki situs web target melalui tautan dalam deskripsi NFT yang dijatuhkan melalui udara (www_officialsolanarares_net) dan menghubungkan dompet mereka (Gambar 2). Setelah mereka mengklik tombol “Mint” di halaman tersebut, jendela persetujuan muncul (Gambar 3). Perhatikan bahwa tidak ada pemberitahuan atau pesan khusus di jendela pop up saat ini. Setelah disetujui, semua SOL di dompet akan ditransfer.

Saat pengguna mengklik tombol “Setujui”, mereka sebenarnya berinteraksi dengan kontrak pintar berbahaya yang digunakan oleh penyerang: 3VtjHnDuDD1QreJiYNziDsdkeALMT6b2F9j3AXdL4q8v

Tujuan akhir dari kontrak pintar berbahaya ini adalah untuk memulai “Transfer SOL”, yang mentransfer hampir semua SOL pengguna. Dari analisis data on-chain, perilaku phishing berlanjut selama beberapa hari, dan jumlah korban terus meningkat selama periode tersebut.

Ada dua kendala dari contoh ini yang perlu Anda perhatikan:

1. Setelah pengguna menyetujuinya, kontrak pintar berbahaya dapat mentransfer aset asli pengguna (dalam hal ini SOL). Hal ini tidak mungkin dilakukan di Ethereum. Otorisasi phishing pada Ethereum hanya dapat memengaruhi token lain tetapi tidak pada aset asli ETH. Ini adalah bagian kontra-intuitif yang akan membuat kewaspadaan pengguna menjadi lebih rendah.
2. Dompet paling terkenal di Solana, Phantom, memiliki celah dalam mekanisme keamanannya sehingga tidak mengikuti prinsip “apa yang Anda lihat adalah apa yang Anda tandatangani” (kami belum menguji dompet lain), dan tidak memberikan peringatan risiko yang cukup kepada pengguna. Hal ini dapat dengan mudah menciptakan titik buta keamanan yang merugikan pengguna.

Beberapa Metodologi Penyerangan Tingkat Lanjut

Sebenarnya ada banyak metodologi penyerangan tingkat lanjut, namun sebagian besar dianggap sebagai phishing dari sudut pandang publik. Namun, beberapa di antaranya bukan serangan phishing biasa. Misalnya:

https://twitter.com/Arthur_0x/status/1506167899437686784

Peretas mengirim email phishing dengan lampiran berikut:

Risiko Besar Stablecoin (Dilindungi).docx

Sejujurnya, ini adalah dokumen yang menarik. Namun, begitu dibuka komputer pengguna akan ditanamkan Trojan (umumnya melalui makro Office atau eksploitasi 0 hari / 1 hari), yang biasanya berisi fungsi-fungsi berikut:

• Mengumpulkan segala macam kredensial, misalnya terkait browser, atau terkait SSH, dll. Dengan cara ini, peretas dapat memperluas akses mereka ke layanan lain dari pengguna target. Oleh karena itu, setelah infeksi, pengguna umumnya disarankan tidak hanya membersihkan perangkat target, tetapi juga izin akun yang relevan.
• Keylogger, khususnya menargetkan informasi sensitif yang muncul sementara seperti kata sandi.
• Mengumpulkan tangkapan layar yang relevan, file sensitif, dll.
• Jika itu adalah ransomware, semua file di sistem target akan dienkripsi dengan kuat, dan menunggu korban membayar uang tebusan, biasanya dengan bitcoin. Namun dalam kasus ini bukan ransomware yang memiliki perilaku lebih jelas & berisik serta niat yang lugas.

Selain itu, Trojan yang menargetkan industri kripto akan disesuaikan secara khusus untuk mengumpulkan informasi sensitif dari dompet atau bursa terkenal, untuk mencuri dana pengguna. Menurut analisis profesional, Trojan yang disebutkan di atas akan melakukan serangan yang ditargetkan pada Metamask:

https://securelist.com/the-bluenoroff-cryptocurrency-hunt-is-still-on/105488/

Trojan akan menggantikan MetaMask pengguna dengan yang palsu dengan pintu belakang. MetaMask pintu belakang pada dasarnya berarti bahwa dana apa pun yang Anda simpan di dalamnya bukan lagi milik Anda. Bahkan jika Anda menggunakan dompet perangkat keras, MetaMask palsu ini akan berhasil mencuri dana Anda dengan memanipulasi alamat tujuan atau informasi jumlah.

Pendekatan ini dirancang khusus untuk target terkenal dengan alamat dompet yang diketahui. Apa yang saya perhatikan adalah banyak orang seperti itu yang terlalu sombong untuk mencegah diri mereka diretas. Setelah peretasan, banyak yang akan belajar dari pengalaman tersebut, melakukan peninjauan menyeluruh, mendapatkan peningkatan yang signifikan, dan juga menjalin kerja sama dan persahabatan jangka panjang dengan profesional atau lembaga keamanan tepercaya. Namun, selalu ada pengecualian di dunia ini. Beberapa orang atau proyek terus diretas berulang kali. Jika setiap kali hal ini terjadi karena sesuatu yang belum pernah ditemui sebelumnya, saya akan sangat menghormati mereka dan menyebut mereka pionir. Kemungkinan besar mereka akan sukses seiring berjalannya waktu. Sayangnya banyak insiden yang terjadi akibat kesalahan bodoh dan berulang-ulang yang sebenarnya bisa dihindari dengan mudah. Saya menyarankan untuk menjauhi proyek-proyek ini.

Sebagai perbandingan, serangan phishing massal tersebut tidak komprehensif sama sekali. Penyerang akan menyiapkan sekumpulan nama domain yang serupa dan menyebarkan muatannya dengan membeli akun, pengikut, dan retweet di Twitter atau platform sosial lainnya. Jika dikelola dengan baik, banyak orang akan terjerumus ke dalam perangkap. Sebenarnya tidak ada yang istimewa dalam serangan phishing semacam ini, dan biasanya penyerang akan secara brutal membuat pengguna mengotorisasi token (termasuk NFT) untuk mentransfernya.

Ada jenis serangan tingkat lanjut lainnya, misalnya menggunakan teknik seperti XSS, CSRF, Reverse Proxy untuk memperlancar proses serangan. Saya tidak akan menguraikan semuanya di sini, kecuali satu kasus yang sangat khusus (Serangan Cloudflare Man-in-the-Middle) yang merupakan salah satu skenario di Reverse Proxy. Ada serangan nyata yang menyebabkan kerugian finansial dengan menggunakan metode yang sangat rahasia ini.

Masalahnya di sini bukanlah Cloudflare itu sendiri yang jahat atau diretas. Sebaliknya, akun Cloudflare tim proyeklah yang disusupi. Umumnya prosesnya seperti ini: Jika Anda menggunakan Cloudflare, Anda akan melihat modul “Pekerja” ini di dashboard, yang deskripsi resminya adalah:

Membangun aplikasi tanpa server dan menerapkannya secara instan di seluruh dunia, mencapai kinerja, keandalan, dan skala yang luar biasa. Untuk detailnya, silakan merujuk ke https://developers.cloudflare.com/workers/

Saya membuat halaman pengujian sejak lama:

https://xssor.io/s/x.html

Saat Anda mengunjungi halaman tersebut akan ada jendela pop-up yang mengatakan:

xssor.io, Dibajak oleh Cloudflare.

Faktanya, pop-up ini, dan bahkan seluruh konten x.html, bukan milik dokumen itu sendiri. Semuanya disediakan oleh Cloudflare. Mekanismenya ditunjukkan di bawah ini:

Indikasi cuplikan kode di tangkapan layar sangat sederhana: Jika saya adalah peretas dan saya telah mengendalikan akun Cloudflare Anda, saya dapat menggunakan Pekerja untuk memasukkan skrip berbahaya yang sewenang-wenang ke halaman web mana pun. Dan sangat sulit bagi pengguna untuk menyadari bahwa halaman web target telah dibajak dan dirusak, karena tidak akan ada peringatan kesalahan (seperti kesalahan sertifikat HTTPS). Bahkan tim proyek tidak akan dengan mudah mengidentifikasi masalah tanpa harus menghabiskan banyak waktu untuk memeriksa keamanan server dan personel mereka. Pada saat mereka menyadari bahwa itu adalah Cloudflare Workers, kerugiannya sudah sangat besar.

Cloudflare sebenarnya adalah alat yang bagus. Banyak situs web atau aplikasi web yang menggunakannya sebagai firewall aplikasi web, solusi anti DDoS, CDN global, proxy terbalik, dll. Karena ada versi gratisnya, mereka memiliki basis pelanggan yang besar. Alternatifnya, ada layanan seperti Akaimai dll.

Pengguna harus memperhatikan keamanan akun tersebut. Masalah keamanan akun muncul seiring dengan munculnya Internet. Ini adalah topik umum di dunia sehingga hampir semua orang membicarakannya di mana-mana, namun masih banyak orang yang diretas karenanya. Beberapa penyebab utama mungkin adalah mereka tidak menggunakan kata sandi unik yang kuat untuk layanan penting (Pengelola kata sandi seperti 1Password tidak begitu populer), beberapa mungkin karena mereka tidak repot-repot mengaktifkan otentikasi 2 faktor (2FA), atau mungkin mereka bahkan tidak mengetahui benda itu. Belum lagi untuk beberapa layanan tertentu, kata sandi harus direset setidaknya setiap tahun.

Baiklah, ini akan menjadi akhir dari bagian ini. Anda hanya perlu memahami bahwa ini memang hutan gelap, dan Anda harus mengetahui sebanyak mungkin metodologi penyerangan. Setelah melihat cukup banyak di atas kertas, jika Anda setidaknya pernah jatuh ke dalam perangkap satu atau dua kali, Anda dapat menganggap diri Anda sebagai profesional keamanan amatir (yang bagaimanapun juga akan menguntungkan diri Anda sendiri).

Perlindungan Privasi Tradisional

Selamat, Anda berhasil mencapai bagian ini. Perlindungan privasi tradisional adalah topik lama: Inilah artikel yang saya tulis pada tahun 2014.

Anda harus mempelajari beberapa trik untuk melindungi diri Anda di era pelanggaran privasi.
https://evilcos.me/yinsi.html

Membaca ulang artikel ini, meskipun ini adalah artikel entry level pada tahun 2014, namun sebagian besar saran di dalamnya masih belum ketinggalan jaman. Setelah membaca artikel itu lagi, saya akan memperkenalkan sesuatu yang baru di sini: sebenarnya, perlindungan privasi berkaitan erat dengan keamanan . Privasi tradisional adalah landasan keamanan. Bagian ini mencakup kunci pribadi Anda yang merupakan bagian dari privasi. Jika batu penjuru tidak aman, privasi batu penjuru tidak ada artinya, maka bangunan atas akan menjadi rapuh seperti bangunan di udara.

Dua sumber daya berikut sangat direkomendasikan：

PERTAHANAN DIRI PENGAWASAN
TIPS, ALAT DAN CARA KOMUNIKASI ONLINE LEBIH AMAN
https://ssd.eff.org/

SURVEILLANCE SELF-DEFENSE adalah kependekan dari SSD. Diluncurkan oleh Electronic Frontier Foundation (EFF) yang terkenal, yang secara khusus telah mengeluarkan pedoman yang relevan untuk memberi tahu Anda cara menghindari kakak mengawasi Anda di dunia pemantauan Internet, yang mencakup beberapa alat yang berguna (seperti Tor, WhatsApp, Signal, PGP, dll.)

Panduan Privasi: Lawan Pengawasan dengan Alat Enkripsi dan Privasi
https://www.privacytools.io/

Situs web di atas berisi daftar lengkap sejumlah alat. Ini juga merekomendasikan beberapa pertukaran mata uang kripto, dompet, dll. Namun, perlu dicatat bahwa saya tidak menggunakan banyak alat yang tercantum di situs web, karena saya punya cara saya sendiri. Oleh karena itu, sebaiknya Anda juga mengembangkan cara Anda sendiri, dengan membandingkan dan meningkatkan secara terus menerus.

Berikut adalah beberapa hal penting dari alat yang saya sarankan untuk Anda gunakan.

Sistem operasi

Windows 10 Edition (dan lebih tinggi) dan macOS keduanya merupakan opsi yang aman. Jika Anda memiliki kemampuan, Anda dapat memilih Linux, seperti Ubuntu, atau bahkan yang sangat berfokus pada keamanan & privasi seperti Tails, atau Whonix.

Pada topik Sistem Operasi, prinsip keamanan yang paling jelas adalah: perhatikan baik-baik pembaruan sistem, dan terapkan secepatnya jika tersedia. Kemampuan untuk menguasai Sistem Operasi adalah yang berikutnya. Mungkin ada yang bertanya, apa sih yang perlu Anda pelajari untuk menguasai Sistem Operasi seperti Windows atau MacOS? Bukankah itu hanya sekedar mengklik? Sebenarnya itu masih jauh dari cukup. Bagi pengguna pemula, perangkat lunak antivirus yang bagus, seperti Kaspersky, BitDefender, adalah suatu keharusan, dan keduanya tersedia di MacOS.

Lalu, jangan lupa tentang keamanan pengunduhan, yang telah saya sebutkan sebelumnya. Anda akan menghilangkan sebagian besar risiko, jika Anda tidak mengunduh dan menginstal program secara sembarangan.

Selanjutnya, pikirkan apa yang akan Anda lakukan jika komputer Anda hilang atau dicuri. Memiliki kata sandi booting jelas tidak cukup baik. Jika enkripsi disk tidak diaktifkan, pelaku kejahatan dapat langsung mengeluarkan harddisk dan mengambil data di dalamnya. Jadi saran saya adalah enkripsi disk harus diaktifkan untuk komputer penting.

https://docs.microsoft.com/en-us/windows/security/encryption-data-protection
https://support.apple.com/en-us/HT204837

Kami juga memiliki alat yang kuat dan legendaris seperti VeraCrypt (sebelumnya TrueCrypt), silakan mencobanya jika Anda tertarik:

https://veracrypt.fr/

Anda dapat melangkah lebih jauh dengan mengaktifkan kata sandi BIOS atau firmware. Saya telah melakukannya sendiri tetapi itu sepenuhnya terserah pilihan Anda sendiri. Ingat saja: jika Anda melakukannya, ingatlah kata sandinya dengan sangat jelas, atau tidak ada yang bisa membantu Anda. Saya cukup beruntung telah jatuh ke dalam lubang kelinci sebelumnya, yang menghabiskan biaya sebuah laptop, beberapa kripto, dan waktu seminggu. Di sisi lain, ini juga merupakan pengalaman belajar yang sangat bagus.

telepon genggam

Saat ini iPhone dan Android adalah dua kategori ponsel utama. Saya dulunya adalah penggemar berat BlackBerry, namun kejayaannya memudar seiring berjalannya waktu. Di masa lalu, kondisi keamanan ponsel Android sangat mengkhawatirkan saya. Di satu sisi masih dalam tahap awal, di sisi lain versinya sangat terfragmentasi, masing-masing merek pasti memiliki versi Android forknya masing-masing. Tapi sekarang segalanya telah membaik.

Di ponsel kita juga perlu memperhatikan pembaruan keamanan dan keamanan unduhan. Selain itu, perhatikan hal-hal berikut ini:

• Jangan melakukan jailbreak/root ponsel Anda, hal ini tidak diperlukan kecuali Anda melakukan riset keamanan yang relevan. Jika Anda melakukannya untuk perangkat lunak bajakan, hal ini sangat bergantung pada seberapa baik Anda dapat menguasai keterampilan tersebut.
• Jangan mengunduh aplikasi dari toko aplikasi tidak resmi.
• Jangan lakukan itu kecuali Anda tahu apa yang Anda lakukan. Belum lagi banyak aplikasi palsu yang beredar di toko aplikasi resmi.
• Prasyarat untuk menggunakan fungsi sinkronisasi Cloud resmi adalah Anda harus memastikan akun Anda aman, jika tidak, jika akun Cloud disusupi, ponsel juga akan disusupi.

Secara pribadi saya lebih mengandalkan iPhone. Dan Anda memerlukan setidaknya dua akun iCloud: satu di China dan satu di luar negeri. Anda akan memerlukannya untuk menginstal aplikasi dengan batasan regional yang berbeda. (yang terdengar sangat aneh tapi selamat datang di kenyataan)

Jaringan

Masalah keamanan jaringan dulunya sangat menyusahkan, namun sudah ada peningkatan yang signifikan dalam beberapa tahun terakhir, terutama sejak penerapan kebijakan HTTPS Everywhere secara massal.

Jika terjadi serangan pembajakan jaringan (serangan man-in-the-middle) yang sedang berlangsung, akan ada peringatan kesalahan sistem yang sesuai. Namun selalu ada pengecualian, jadi ketika Anda punya pilihan, gunakan opsi yang lebih aman. Misalnya, jangan terhubung ke jaringan Wi-Fi asing kecuali jaringan 4G/5G yang lebih populer & aman tidak tersedia atau tidak stabil.

Peramban

Browser yang paling populer adalah Chrome dan Firefox, di bidang kripto beberapa akan menggunakan Brave juga. Browser terkenal ini memiliki tim yang kuat dan akan ada pembaruan keamanan yang tepat waktu. Topik keamanan browser sangat luas. Berikut beberapa tips yang perlu Anda waspadai:

• Perbarui secepat mungkin, jangan ambil risiko.
• Jangan gunakan ekstensi jika tidak diperlukan. Jika ya, buatlah keputusan berdasarkan ulasan pengguna, jumlah pengguna, perusahaan pengelola, dll, dan perhatikan izin yang diminta. Pastikan Anda mendapatkan ekstensi dari toko aplikasi resmi browser Anda.
• Beberapa browser dapat digunakan secara paralel, dan sangat disarankan agar Anda melakukan operasi penting di satu browser, dan menggunakan browser lain untuk operasi yang lebih rutin dan kurang penting.
• Berikut adalah beberapa ekstensi terkenal yang berfokus pada privasi (seperti uBlock Origin, HTTPS Everywhere, ClearURLs, dll.), silakan mencobanya.

Khususnya di Firefox, saya juga akan menggunakan ekstensi kuno legendaris NoScript, yang memiliki catatan terbukti dalam menangkis muatan JavaScript berbahaya. Saat ini browser menjadi semakin aman karena mereka menambahkan dukungan untuk hal-hal seperti kebijakan asal yang sama, CSP, kebijakan keamanan Cookie, header keamanan HTTP, kebijakan keamanan ekstensi, dll. Oleh karena itu, kebutuhan untuk menggunakan alat seperti NoScript menjadi lebih kecil dan lebih kecil, silakan melihatnya jika tertarik.

Pengelola Kata Sandi

Jika Anda belum pernah menggunakan pengelola kata sandi, mungkin Anda tidak tahu kenyamanan menggunakannya, atau Anda memiliki istana memori Anda sendiri yang kuat. Risiko gangguan memori otak juga telah disebutkan sebelumnya, salah satunya adalah waktu akan melemahkan atau mengganggu daya ingat Anda; yang lainnya adalah Anda mungkin mengalami kecelakaan. Apa pun kasusnya, saya tetap menyarankan Anda menggunakan pengelola kata sandi untuk menyesuaikan dengan memori otak Anda, gunakan yang terkenal seperti 1Password, Bitwarden, dll.

Saya tidak perlu membahas bagian ini terlalu banyak, ada begitu banyak tutorial terkait secara online, mudah untuk memulainya bahkan tanpa memerlukan tutorial.

Yang perlu saya ingatkan di sini adalah:

• Jangan pernah lupa kata sandi utama Anda, dan jaga keamanan informasi akun Anda, jika tidak semuanya akan hilang.
• Pastikan email Anda aman. Jika email Anda disusupi, informasi sensitif di pengelola kata sandi Anda mungkin tidak disusupi secara langsung, namun pelaku kejahatan mempunyai kemampuan untuk menghancurkannya.
• Saya telah memverifikasi keamanan alat yang saya sebutkan (seperti 1Password), dan telah mengamati dengan cermat insiden keamanan yang relevan, ulasan pengguna, berita, dll. Namun saya tidak dapat menjamin bahwa alat ini benar-benar aman, dan tidak ada peristiwa black swan yang terjadi. akan terjadi di masa depan pada mereka.

Satu hal yang saya hargai adalah pengenalan dan deskripsi halaman keamanan 1Password, misalnya.

https://1password.com/security/

Halaman ini berisi konsep desain keamanan, sertifikat privasi dan keamanan yang relevan, kertas putih desain keamanan, laporan audit keamanan, dll. Tingkat transparansi dan keterbukaan ini juga memfasilitasi validasi yang diperlukan dalam industri. Semua tim proyek harus belajar dari ini.

Bitwarden melangkah lebih jauh karena sepenuhnya open source, termasuk sisi server, sehingga siapa pun dapat memvalidasi, mengaudit, dan berkontribusi. Sekarang kamu paham? Maksud dari 1Password dan Bitwarden sangat jelas:

Saya sangat aman dan saya khawatir tentang privasi. Saya tidak hanya mengatakannya sendiri, otoritas pihak ketiga juga mengatakannya. Jangan ragu untuk mengaudit saya, dan untuk memudahkan audit Anda, saya menghabiskan banyak upaya untuk bersikap terbuka jika memungkinkan. Jika apa yang saya lakukan tidak sesuai dengan apa yang saya katakan, mudah untuk menantang saya. Dan ini disebut Keyakinan Keamanan.

Otentikasi Dua Faktor

Berbicara tentang keamanan identitas Anda di Internet, lapisan pertama bergantung pada kata sandi, lapisan kedua bergantung pada otentikasi dua faktor, dan lapisan ketiga bergantung pada kemampuan pengendalian risiko proyek target itu sendiri. Saya tidak bisa mengatakan bahwa otentikasi dua faktor adalah suatu keharusan. Misalnya, jika Anda menggunakan dompet terdesentralisasi, satu lapisan kata sandi sudah cukup mengganggu (sekarang pada dasarnya mendukung identifikasi biometrik seperti pengenalan wajah atau sidik jari untuk meningkatkan pengalaman pengguna), tidak ada yang mau menggunakan faktor kedua. Namun dalam platform terpusat, Anda harus menggunakan 2FA. Siapa pun dapat mengakses platform terpusat, dan jika kredensial Anda dicuri, akun Anda akan dibobol dan dana Anda akan hilang. Sebaliknya, kata sandi untuk dompet terdesentralisasi Anda hanyalah autentikasi lokal, meskipun peretas mendapatkan kata sandinya, mereka tetap perlu mendapatkan akses ke perangkat tempat dompet Anda berada.

Sekarang Anda melihat perbedaannya?Beberapa alat otentikasi dua faktor (2FA) yang terkenal meliputi: Google Authenticator, Microsoft Authenticator, dll. Tentu saja, jika Anda menggunakan pengelola kata sandi (seperti 1Password), alat tersebut juga dilengkapi dengan modul 2FA , yang sangat berguna. Ingatlah selalu untuk membuat cadangan, karena kehilangan 2FA bisa merepotkan.

Selain itu, otentikasi dua faktor juga bisa menjadi konsep yang lebih luas. Misalnya, ketika pengidentifikasi akun dan kata sandi digunakan untuk masuk ke platform target, pengidentifikasi akun kami biasanya berupa email atau nomor ponsel. Saat ini, kotak surat atau nomor ponsel dapat digunakan sebagai 2FA untuk menerima kode verifikasi. Namun tingkat keamanan metode ini kurang baik. Misalnya, jika kotak surat disusupi atau kartu SIM dibajak, atau layanan pihak ketiga yang digunakan untuk mengirim email dan pesan teks diretas, maka kode verifikasi yang dikirim oleh platform juga akan terungkap.

Berselancar Internet Ilmiah

Untuk alasan kebijakan, jangan terlalu banyak membicarakan hal ini, cukup pilih salah satu solusi yang sudah diketahui. Segalanya akan lebih terkendali jika Anda dapat membuat solusi Anda sendiri. Bagaimanapun, titik awal kami adalah menjelajahi Internet secara ilmiah dan aman.

Jika Anda tidak menggunakan solusi yang dibuat sendiri, Anda tidak dapat sepenuhnya mengesampingkan kemungkinan serangan man-in-the-middle. Seperti disebutkan sebelumnya, situasi keamanan Internet tidak seburuk dulu, terutama setelah penerapan kebijakan HTTPS Everywhere secara massal. Namun, sebagian dari kedamaian itu mungkin hanya permukaan air, dan sudah ada arus bawah permukaan yang tidak mudah terlihat. Sejujurnya, saya tidak punya solusi jitu untuk ini. Membangun solusi Anda sendiri tidaklah mudah, namun hal ini pasti sepadan. Dan jika tidak bisa, pastikan Anda memeriksa menggunakan berbagai sumber dan memilih sumber yang memiliki reputasi baik dan sudah ada sejak lama.

Surel

Email adalah landasan identitas berbasis web kami. Kami menggunakan email untuk mendaftar ke banyak layanan. Hampir semua layanan email yang kami gunakan gratis. Tampaknya seperti udara, dan menurut Anda itu tidak akan hilang. Bagaimana jika suatu saat layanan Email Anda hilang, maka semua layanan lain yang bergantung padanya akan berada dalam situasi yang agak canggung. Situasi ekstrim ini sebenarnya bukan tidak mungkin terjadi jika terjadi perang, bencana alam, dll. Tentu saja, jika situasi ekstrim ini terjadi, Email tidak akan terlalu penting bagi Anda dibandingkan kelangsungan hidup.

Ketika berbicara tentang penyedia layanan Email, Anda harus memilih dari raksasa teknologi, seperti Gmail, Outlook, atau QQ Email. Kebetulan penelitian keamanan saya sebelumnya mencakup bidang ini. Postur keamanan kotak surat ini cukup baik. Namun tetap saja Anda harus berhati-hati terhadap serangan Email phishing. Anda tidak perlu berurusan dengan setiap Email, terutama tautan dan lampiran yang tertanam, tempat Trojan mungkin disembunyikan.

Jika Anda menemukan serangan yang sangat canggih terhadap penyedia layanan Email Anda, Anda sendirian.

Selain layanan email dari raksasa teknologi ini, jika Anda sangat mengkhawatirkan privasi, Anda dapat melihat dua layanan email terkenal yang ramah privasi ini: ProtonMail dan Tutanota. Saran saya adalah untuk memisahkan kotak surat ramah pribadi ini dari penggunaan sehari-hari, dan hanya menggunakannya untuk layanan yang memerlukan perhatian khusus terhadap privasi. Anda juga perlu secara rutin menggunakan layanan Email gratis untuk mencegah akun Anda ditangguhkan karena tidak aktif dalam waktu lama.

Kartu SIM

Kartu SIM dan nomor ponsel juga merupakan identitas dasar yang sangat penting dalam banyak kasus, seperti halnya email. Dalam beberapa tahun terakhir, operator besar di negara kita telah melakukan pekerjaan yang sangat baik dalam melindungi keamanan nomor ponsel. Misalnya, terdapat protokol keamanan & proses verifikasi yang ketat untuk pembatalan dan penerbitan ulang kartu SIM, dan semuanya dilakukan di lokasi. Mengenai topik serangan kartu SIM, izinkan saya memberi Anda sebuah contoh:

Pada tahun 2019.5, akun Coinbase seseorang mengalami Serangan Port SIM (serangan transfer kartu SIM), dan sayangnya kehilangan lebih dari 100.000 dolar AS mata uang kripto. Proses serangannya kira-kira sebagai berikut:

Penyerang memperoleh informasi privasi pengguna target melalui rekayasa sosial dan metode lainnya, dan menipu operator telepon seluler untuk memberinya kartu SIM baru, dan kemudian dia dengan mudah mengambil alih akun Coinbase pengguna target melalui nomor ponsel yang sama. SIM telah ditransfer, yang sangat merepotkan. Sangat merepotkan jika kartu SIM Anda ditransfer oleh penyerang, karena saat ini banyak layanan online yang menggunakan nomor ponsel kami sebagai faktor otentikasi langsung atau 2FA. Ini adalah mekanisme otentikasi yang sangat terpusat, dan nomor ponsel menjadi titik lemahnya.

Untuk analisis lebih rinci, silakan merujuk ke:

https://medium.com/coinmonks/the-most-expensive-lesson-of-my-life-details-of-sim-port-hack-35de11517124

Saran pertahanan untuk ini sebenarnya sederhana: aktifkan solusi 2FA yang terkenal.

Kartu SIM mempunyai risiko lain: yaitu, jika ponsel hilang atau dicuri, akan sangat memalukan jika orang jahat dapat mengeluarkan kartu SIM tersebut dan menggunakannya. Inilah yang saya lakukan: Aktifkan kata sandi kartu SIM (kode PIN), jadi setiap kali saya menghidupkan telepon atau menggunakan kartu SIM di perangkat baru, saya harus memasukkan kata sandi yang benar. Silakan tanyakan pada Google untuk mengetahui detailnya. Berikut pengingat dari saya: jangan lupa password ini, jika tidak maka akan sangat merepotkan.

GPG

Banyak konten di bagian ini telah disebutkan di bagian sebelumnya, dan saya ingin menambahkan lebih banyak konsep dasar di sini.: Terkadang Anda akan menemukan nama yang mirip seperti PGP, OpenPGP, dan GPG. Cukup bedakan saja sebagai berikut:

• PGP, kependekan dari Pretty Good Privacy, adalah perangkat lunak enkripsi komersial berusia 30 tahun yang kini berada di bawah payung Symantec.
• OpenPGP adalah standar enkripsi yang berasal dari PGP.
• GPG, nama lengkapnya GnuPG, adalah perangkat lunak enkripsi sumber terbuka berdasarkan standar OpenPGP.

Inti mereka serupa, dan dengan GPG Anda kompatibel dengan yang lain. Di sini saya sangat menyarankan sekali lagi: Dalam enkripsi keamanan, jangan mencoba menemukan kembali roda; GPG, jika digunakan dengan cara yang benar, dapat meningkatkan tingkat keamanan secara signifikan!

Pemisahan

Nilai inti di balik prinsip keamanan segregasi adalah pola pikir nol kepercayaan. Anda harus memahami bahwa sekuat apa pun kita, cepat atau lambat kita akan diretas, tidak peduli apakah itu oleh peretas eksternal, orang dalam, atau diri kita sendiri. Saat diretas, stop loss harus menjadi langkah pertama. Kemampuan menghentikan kerugian diabaikan oleh banyak orang, dan itulah sebabnya mereka diretas berulang kali. Akar permasalahannya adalah tidak adanya desain keamanan, terutama metode langsung seperti segregasi

Praktik pemisahan yang baik dapat memastikan bahwa jika terjadi insiden keamanan, Anda hanya kehilangan aset yang terkait langsung dengan target yang disusupi, tanpa memengaruhi aset lainnya.

Misalnya:

• Jika praktik keamanan kata sandi Anda baik, ketika salah satu akun Anda diretas, kata sandi yang sama tidak akan membahayakan akun lainnya.
• Jika mata uang kripto Anda tidak disimpan dalam satu set benih mnemonik, Anda tidak akan kehilangan segalanya jika Anda masuk ke dalam jebakan.
• Jika komputer Anda terinfeksi, untungnya ini hanya komputer yang digunakan untuk aktivitas biasa, dan tidak ada hal penting di dalamnya. Jadi Anda tidak perlu panik, karena menginstal ulang komputer akan menyelesaikan sebagian besar masalah. Jika Anda pandai menggunakan mesin virtual, segalanya akan menjadi lebih baik, karena Anda cukup memulihkan snapshot. Peralatan mesin virtual yang bagus adalah: VMware, Parallels.
• Ringkasnya, Anda dapat memiliki setidaknya dua akun, dua alat, dua perangkat, dll. Bukan tidak mungkin untuk sepenuhnya membuat identitas virtual independen setelah Anda memahaminya.

Saya telah menyebutkan pendapat yang lebih ekstrim sebelumnya: privasi bukan untuk kita lindungi, privasi harus dikontrol.

Alasan sudut pandang ini adalah: dalam lingkungan Internet saat ini, privasi sebenarnya telah dibocorkan secara serius. Untungnya, peraturan terkait privasi telah semakin banyak diadopsi dalam beberapa tahun terakhir, dan masyarakat semakin memberikan perhatian. Segalanya memang berjalan ke arah yang benar. Namun sebelum itu, bagaimanapun juga, ketika Anda sudah menguasai poin-poin pengetahuan yang saya sebutkan, Anda akan dapat mengontrol privasi Anda dengan mudah. Di Internet, jika Anda terbiasa, Anda mungkin memiliki beberapa identitas virtual yang hampir tidak bergantung satu sama lain.

Keamanan Sifat Manusia

Manusia selalu berada pada risiko tertinggi dan abadi. Ada kutipan dari The Three-Body Problem: “Kelemahan dan ketidaktahuan bukanlah penghalang untuk bertahan hidup, namun kesombongan adalah penghalang.”

• Jangan sombong: Jika kamu berpikir kamu sudah kuat, kamu baik-baik saja dengan dirimu sendiri. Jangan meremehkan seluruh dunia. Secara khusus, jangan terlalu bangga dan berpikir Anda bisa menantang peretas global. Belajar tidak ada habisnya, dan masih banyak kendala.
• Jangan serakah: Keserakahan memang menjadi motivasi untuk maju dalam banyak hal, tapi coba pikirkan, mengapa kesempatan bagus ini hanya diperuntukkan bagi Anda?
• Jangan impulsif: impulsif adalah iblis yang akan membawa Anda ke perangkap. Tindakan gegabah adalah perjudian.

Ada banyak hal dalam sifat manusia yang perlu dibicarakan dan Anda sangat berhati-hati. Harap memberikan perhatian khusus pada poin-poin berikut, dan lihat bagaimana pelaku kejahatan memanfaatkan kelemahan sifat manusia, dengan memanfaatkan berbagai platform yang nyaman.

Telegram

Saya sudah katakan sebelumnya bahwa Telegram adalah web gelap terbesar. Saya harus mengatakan bahwa orang-orang menyukai Telegram karena keamanan, stabilitas, dan fitur desain terbukanya. Namun budaya terbuka Telegram juga menarik orang-orang jahat: sejumlah besar pengguna, fungsionalitas yang sangat dapat disesuaikan, cukup mudah untuk membangun semua jenis layanan Bot. Dikombinasikan dengan mata uang kripto, pengalaman perdagangan sebenarnya jauh melampaui pasar web gelap di Tor. Dan terlalu banyak ikan di dalamnya.

Biasanya, pengenal unik akun media sosial hanya berupa nama pengguna, id pengguna, tetapi ini dapat sepenuhnya dikloning oleh pelaku kejahatan. Beberapa platform sosial memiliki mekanisme validasi akun, seperti menambahkan ikon V biru atau semacamnya. Akun media sosial publik dapat divalidasi melalui beberapa indikator, seperti jumlah pengikut, konten yang diposting, interaksi dengan penggemar, dll. Akun media sosial non-publik sedikit lebih sulit. Sangat menyenangkan melihat Telegram merilis fungsi “Grup mana kita berada bersama”.

Dimanapun ada celah yang bisa dieksploitasi dan keuntungannya besar, pasti ada sekumpulan penjahat, itu sifat manusia.

Akibatnya, platform media sosial penuh dengan jebakan phishing. Misalnya: Dalam obrolan grup, seseorang yang terlihat seperti layanan pelanggan resmi tiba-tiba muncul dan memulai obrolan pribadi (obrolan pribadi apa pun adalah fitur Telegram, tidak perlu permintaan pertemanan), dan kemudian keluar dari taktik klasik spam, ikan akan menggigit satu demi satu.

Atau penyerang mungkin melangkah lebih jauh dan menambahkan Anda ke grup lain. Semua peserta membeli Anda palsu, tetapi bagi Anda itu terlihat sangat realistis. Kami menyebut teknik ini sebagai Kloning Kelompok dalam masyarakat bawah tanah.

Ini hanyalah metode dasar memanipulasi sifat manusia, teknik-teknik canggih akan dikombinasikan dengan kerentanan sehingga lebih sulit untuk dicegah.

Perselisihan

Discord adalah platform sosial/perangkat lunak IM baru dan populer yang muncul dalam dua tahun terakhir. Fungsi intinya adalah server komunitas (bukan konsep server tradisional), seperti yang tertulis dalam pernyataan resmi:

Discord adalah aplikasi obrolan suara, video, dan teks gratis yang digunakan oleh puluhan juta orang berusia 13+ tahun untuk berbicara dan berkumpul dengan komunitas dan teman mereka.

Orang-orang menggunakan Discord setiap hari untuk membicarakan banyak hal, mulai dari proyek seni dan perjalanan keluarga hingga pekerjaan rumah dan dukungan kesehatan mental. Ini adalah rumah bagi komunitas dari berbagai ukuran, namun paling banyak digunakan oleh kelompok kecil dan aktif yang terdiri dari orang-orang yang berbicara secara teratur.

Kelihatannya bagus tetapi memerlukan standar desain keamanan yang cukup kuat. Discord memiliki aturan dan kebijakan keamanan khusus seperti pada:

https://discord.com/safety

Sayangnya, kebanyakan orang tidak mau repot-repot membacanya dengan cermat. Terlebih lagi, Discord tidak selalu dapat menggambarkan masalah keamanan inti tertentu dengan jelas, karena mereka harus berperan sebagai penyerang yang tidak selalu dapat dilakukan.

Contohnya:

Dengan banyaknya pencurian NFT di Discord, apa metode serangan utama? Sebelum kita mengetahuinya, saran keamanan Discord tidak ada gunanya.

Alasan utama di balik banyak proyek Discordhacks sebenarnya adalah Discord Token, yang merupakan konten bidang otorisasi di header permintaan HTTP. Itu sudah ada di Discord sejak lama. Bagi para hacker, jika mereka dapat menemukan cara untuk mendapatkan Token Discord ini, mereka hampir dapat mengontrol semua hak istimewa dari server Discord target. Artinya, jika targetnya adalah administrator, akun dengan hak administratif, atau bot Discord, peretas dapat melakukan apa pun yang mereka inginkan. Misalnya dengan mengumumkan situs phishing NFT, mereka membuat orang mengira itu adalah pengumuman resmi, dan ikan akan terpancing.

Beberapa orang mungkin bertanya, bagaimana jika saya menambahkan otentikasi dua faktor (2FA) ke akun Discord saya? Benar-benar sebuah kebiasaan yang baik! Tapi Discord Token tidak ada hubungannya dengan status 2FA akun Anda. Setelah akun Anda dibobol, Anda harus segera mengubah kata sandi Discord Anda agar Token Discord asli menjadi tidak valid.

Untuk pertanyaan bagaimana hacker bisa mendapatkan Discord Token, kami telah menemukan setidaknya tiga teknik utama, dan kami akan mencoba menjelaskannya secara detail di masa mendatang. Bagi pengguna awam, banyak hal yang bisa dilakukan, namun poin intinya adalah: jangan terburu-buru, jangan serakah, dan verifikasi dari berbagai sumber.

Phishing “resmi”.

Aktor jahat pandai memanfaatkan permainan peran, terutama peran resmi. Misalnya kami telah menyebutkan metode layanan pelanggan palsu sebelumnya. Selain itu, pada bulan April 2022, banyak pengguna dompet perangkat keras terkenal Trezor, menerima email phishing dari trezor.us, yang bukan merupakan domain resmi Trezor trezor.io. Ada sedikit perbedaan pada akhiran nama domain. Terlebih lagi, domain berikut juga disebarkan melalui email phishing.

https://suite.trẹzor.com

Nama domain ini memiliki “titik sorotan”, perhatikan baik-baik huruf ẹ di dalamnya, dan Anda akan menemukan bahwa itu bukan huruf e. Membingungkan? Ini sebenarnya Punycode, deskripsi standarnya seperti di bawah ini:

Pengkodean Bootstring Unicode untuk Nama Domain Internasional dalam Aplikasi (IDNA) adalah pengkodean nama domain internasional yang mewakili sekumpulan karakter terbatas dalam kode Unicode dan ASCII.

Jika seseorang memecahkan kode trẹzor, tampilannya seperti ini: xn-trzor-o51b, yang merupakan nama domain sebenarnya!

Peretas telah menggunakan Punycode untuk phishing selama bertahun-tahun, pada tahun 2018, beberapa pengguna Binance disusupi oleh trik yang sama.

Situs phishing semacam ini sudah bisa membuat banyak orang terjerumus, belum lagi serangan yang lebih canggih seperti pengendalian kotak surat resmi, atau serangan pemalsuan surat yang disebabkan oleh masalah konfigurasi SPF. Alhasil, sumber emailnya terlihat sama persis dengan yang resmi.

Jika itu adalah orang dalam yang nakal, pengguna tidak dapat berbuat apa-apa. tim proyek harus berupaya keras untuk mencegah ancaman dari dalam. Orang dalam adalah kuda Troya terbesar, namun mereka sering kali diabaikan.

Masalah Privasi Web3

Dengan semakin populernya Web3, semakin banyak proyek menarik atau membosankan bermunculan: seperti semua jenis infrastruktur Web3, platform sosial, dll. Beberapa di antaranya telah melakukan analisis data besar-besaran dan mengidentifikasi berbagai potret perilaku target, tidak hanya di blockchain samping, tetapi juga pada platform Web2 terkenal. Begitu potretnya keluar, targetnya pada dasarnya adalah orang yang transparan. Dan kemunculan platform sosial Web3 juga dapat memperburuk masalah privasi tersebut.

Pikirkan tentang hal ini, ketika Anda bermain-main dengan semua hal yang berhubungan dengan Web3 ini, seperti pengikatan tanda tangan, interaksi berantai, dll., apakah Anda memberikan lebih banyak privasi Anda? Banyak yang mungkin tidak setuju, namun seiring dengan banyaknya bagian yang digabungkan, akan ada gambaran yang lebih akurat dan komprehensif: NFT mana yang ingin Anda kumpulkan, komunitas mana yang Anda ikuti, daftar putih mana yang Anda ikuti, dengan siapa Anda terhubung, akun Web2 mana Anda terikat, periode waktu apa Anda aktif, dan sebagainya. Lihat, blockchain terkadang memperburuk privasi. Jika Anda peduli dengan privasi, Anda harus berhati-hati dengan segala hal yang baru muncul dan menjaga kebiasaan baik dalam memisahkan identitas Anda.

Pada titik ini, jika kunci pribadi dicuri secara tidak sengaja, kerugiannya tidak hanya berupa uang, tetapi semua hak dan kepentingan Web3 yang dijaga dengan hati-hati. Kami sering mengatakan bahwa kunci pribadi adalah identitas, dan sekarang Anda memiliki masalah ID yang sebenarnya.

Jangan pernah menguji sifat manusia.

Kejahatan Blockchain

Teknologi Blockchain menciptakan industri yang benar-benar baru. Baik Anda menyebutnya BlockFi, DeFi, cryptocurrency, mata uang virtual, mata uang digital, Web3, dll, inti dari semuanya tetaplah blockchain. Kebanyakan hype berpusat pada aktivitas keuangan, seperti aset kripto, termasuk token yang tidak dapat dipertukarkan (atau NFT, koleksi digital).

Industri Blockchain sangat dinamis dan menarik, namun ada terlalu banyak cara untuk melakukan kejahatan. Karakteristik khusus dari blockchain memunculkan beberapa kejahatan yang cukup unik, termasuk dan tidak terbatas pada pencurian kripto, cryptojacking, ransomware, perdagangan web gelap, serangan C2, pencucian uang, skema Ponzi, perjudian, dll. Saya membuat peta pikiran pada tahun 2019 sebagai referensi.

https://github.com/slowmist/Knowledge-Base/blob/master/mindmaps/evil_blockchain.png

Sementara itu, tim SlowMist telah memelihara dan memperbarui SlowMist Hacked – database yang berkembang untuk aktivitas peretasan terkait blockchain.

https://hacked.slowmist.io/

Buku pegangan ini telah memperkenalkan banyak langkah keamanan, dan jika Anda dapat menerapkannya pada keamanan Anda sendiri, maka selamat. Saya tidak akan menjelaskan terlalu banyak tentang kejahatan blockchain. Jika Anda tertarik, Anda dapat mempelajarinya sendiri, yang tentunya merupakan hal yang baik, terutama karena penipuan dan penipuan baru terus berkembang. Semakin banyak Anda belajar, semakin baik Anda dapat mempertahankan diri dan menjadikan industri ini lebih baik.

Apa yang harus dilakukan ketika Anda diretas

Hanya masalah waktu sebelum Anda akhirnya diretas. Jadi apa yang harus dilakukan? Saya langsung saja ke pokok permasalahannya. Langkah-langkah berikut ini belum tentu berurutan; ada kalanya Anda harus bolak-balik, tetapi gambaran umumnya adalah ini.

Hentikan Kerugian Terlebih Dahulu

Stop loss adalah tentang membatasi kerugian Anda. Ini dapat dipecah menjadi setidaknya dua fase.

• Fase Tindakan Segera. Segera bertindak! Jika Anda melihat peretas mentransfer aset Anda, jangan pikirkan lagi. Buruan saja pindahkan sisa asetnya ke tempat yang aman. Jika Anda memiliki pengalaman dalam menjalankan perdagangan, ambil saja dan jalankan. Tergantung pada jenis asetnya, jika Anda dapat membekukan aset Anda di blockchain, lakukan itu sesegera mungkin; jika Anda dapat melakukan analisis on-chain dan menemukan aset Anda ditransfer ke bursa terpusat, Anda dapat menghubungi departemen pengendalian risiko mereka.
• Fase Pasca Aksi. Setelah situasi stabil, fokus Anda harus memastikan tidak ada serangan sekunder atau tersier.

Lindungi Tempat Kejadian

Saat Anda menemukan ada sesuatu yang tidak beres, tetaplah tenang dan tarik napas dalam-dalam. Ingatlah untuk melindungi tempat kejadian. Berikut beberapa saran:

• Jika kecelakaan terjadi pada komputer, server, atau perangkat lain yang terhubung ke Internet, segera putuskan jaringan sambil tetap menghidupkan perangkat dengan pasokan listrik. Beberapa orang mungkin mengklaim bahwa jika itu adalah virus yang merusak, file sistem lokal akan dihancurkan oleh virus tersebut. Mereka benar, namun mematikan perangkat hanya membantu jika Anda dapat bereaksi lebih cepat daripada virus…
• Kecuali Anda mampu menanganinya sendiri, menunggu profesional keamanan turun tangan untuk melakukan analisis selalu merupakan pilihan yang lebih baik.

Hal ini sangat penting karena kami telah beberapa kali menjumpai bahwa pemandangan sudah berantakan pada saat kami turun tangan untuk melakukan analisis. Dan bahkan ada kasus ketika bukti penting (misalnya log, file virus) tampaknya telah dibersihkan. Tanpa TKP yang terpelihara dengan baik, hal ini dapat sangat mengganggu analisis dan penelusuran selanjutnya.

Analisis Akar Penyebab

Tujuan menganalisis penyebabnya adalah untuk memahami musuh dan menampilkan potret peretas. Pada titik ini, laporan kejadian yang disebut juga Post Mortem Report menjadi sangat penting. Laporan Insiden dan Laporan Post Mortem mengacu pada hal yang sama.

Kami telah bertemu begitu banyak orang yang datang kepada kami untuk meminta bantuan setelah koin mereka dicuri, dan sangat sulit bagi banyak dari mereka untuk menceritakan dengan jelas apa yang terjadi. Lebih sulit lagi bagi mereka untuk menghasilkan laporan kejadian yang jelas. Tapi menurut saya ini bisa dipraktekkan dan akan membantu jika mengacu pada contoh. Berikut ini bisa menjadi titik awal yang baik:

• Rangkuman 1: Siapa saja yang terlibat, kapan kejadiannya, apa yang terjadi, dan berapa total kerugiannya?
• Ringkasan 2: Alamat dompet terkait dengan kehilangan, alamat dompet peretas, jenis koin, jumlah koin. Ini bisa menjadi lebih jelas hanya dengan bantuan satu tabel.
• Deskripsi proses: bagian ini adalah yang paling sulit. Anda perlu mendeskripsikan semua aspek kejadian dengan segala detailnya, yang berguna untuk menganalisis berbagai macam jejak yang terkait dengan peretas dan pada akhirnya mendapatkan potret peretas dari mereka (termasuk motivasinya)

Jika menyangkut kasus tertentu, templatnya akan jauh lebih kompleks. Terkadang ingatan manusia juga tidak dapat diandalkan, dan bahkan terdapat penyembunyian informasi penting yang disengaja yang dapat menyebabkan waktu terbuang atau waktu tertunda. Jadi dalam praktiknya, akan ada konsumsi yang besar dan kami perlu menggunakan pengalaman kami untuk memandu pekerjaan dengan baik. Terakhir, kami membuat laporan kejadian dengan orang atau tim yang kehilangan koin, dan terus memperbarui laporan kejadian ini.

Penelusuran Sumber

Menurut Hukum Rocca, dimana ada invasi, disitu ada jejak. Jika kita menyelidikinya dengan cukup teliti, kita akan selalu menemukan beberapa petunjuk. Proses investigasi sebenarnya adalah analisis forensik dan penelusuran sumber. Kami akan menelusuri sumber berdasarkan potret peretas dari analisis forensik, dan terus memperkayanya, yang merupakan proses dinamis dan berulang.

Penelusuran sumber terdiri dari dua bagian utama:

• Kecerdasan on-chain. Kami menganalisis aktivitas aset alamat dompet, seperti masuk ke bursa terpusat, pencampur koin, dll., memantaunya, dan mendapatkan peringatan tentang transfer baru.
• Kecerdasan off-chain: bagian ini mencakup IP peretas, informasi perangkat, alamat email, dan informasi lebih lanjut dari korelasi titik-titik terkait ini, termasuk informasi perilaku.

Ada banyak upaya penelusuran sumber berdasarkan informasi ini, dan bahkan memerlukan keterlibatan penegak hukum.

Kesimpulan Kasus

Tentu saja kita semua menginginkan akhir yang bahagia, dan berikut adalah beberapa contoh peristiwa yang diungkapkan kepada publik yang telah kita ikuti dan memberikan hasil yang baik:

• Lendf.Me Senilai $25 juta
• SIL Finance Senilai $12,15 juta
• Poly Network, Senilai $610 juta

Kami telah mengalami banyak kasus lain yang tidak dipublikasikan yang berakhir dengan hasil yang baik atau baik-baik saja. Namun sebagian besar dari mereka memiliki akhir yang buruk, yang sangat disayangkan. Kami telah memperoleh banyak pengalaman berharga dalam proses ini dan kami berharap dapat meningkatkan rasio hasil akhir yang baik di masa depan.

Bagian ini disebutkan secara singkat seperti di atas. Ada banyak sekali pengetahuan yang berkaitan dengan bidang ini dan saya tidak begitu paham dengan beberapa di antaranya. Oleh karena itu, saya tidak akan memberikan penjelasan detailnya di sini. Tergantung pada skenarionya, kemampuan yang perlu kita kuasai adalah:

• Analisis dan Forensik Keamanan Kontrak Cerdas
• Analisis dan forensik transfer dana on-chain
• Analisis Keamanan Web dan Forensik
• Analisis dan Forensik Keamanan Server Linux
• Analisis dan Forensik Keamanan Windows
• Analisis Keamanan dan Forensik macOS
• Analisis dan Forensik Keamanan Seluler
• Analisis kode berbahaya dan forensik
• Analisis keamanan dan forensik perangkat atau platform jaringan
• Analisis dan forensik keamanan orang dalam
• …

Panduan ini mencakup hampir semua aspek keamanan, begitu pula buku panduan ini. Namun, titik keamanan tersebut hanya disebutkan secara singkat di sini sebagai panduan pendahuluan.

Kesalahpahaman

Sejak awal, buku panduan ini memberitahu Anda untuk tetap skeptis! Ini mencakup semua yang disebutkan di sini. Ini adalah industri yang sangat dinamis dan menjanjikan, penuh dengan segala macam jebakan dan kekacauan. Di sini mari kita lihat beberapa kesalahpahaman, yang jika dianggap sebagai kebenaran, dapat dengan mudah membuat Anda jatuh ke dalam perangkap dan menjadi bagian dari kekacauan itu sendiri.

Kode Adalah Hukum

Kode adalah hukum. Namun, ketika sebuah proyek (terutama yang terkait dengan kontrak pintar) diretas atau dirusak, tidak ada satupun korban yang menginginkan “Code Is Law”, dan ternyata mereka masih harus bergantung pada hukum di dunia nyata.

Bukan Kunci Anda, Bukan Koin Anda

Jika Anda tidak memiliki kunci, Anda tidak memiliki koin Anda. Faktanya, banyak pengguna gagal mengelola kunci pribadi mereka dengan benar. Karena berbagai kesalahan praktik keamanan, mereka bahkan kehilangan aset kripto mereka. Terkadang Anda akan menyadari bahwa sebenarnya lebih aman menempatkan aset kripto Anda di platform besar dan bereputasi baik.

Di Blockchain Kami Percaya

Kami mempercayainya karena ini adalah blockchain. Faktanya, blockchain sendiri memiliki kemampuan untuk memecahkan banyak masalah kepercayaan mendasar, karena blockchain tahan terhadap kerusakan, tahan terhadap sensor, dan lain-lain; jika aset saya dan aktivitas terkait berada dalam rantai, secara default saya dapat percaya bahwa tidak ada orang lain yang dapat mengambil aset saya atau merusak aktivitas saya tanpa izin. Namun kenyataannya seringkali sulit, pertama tidak semua blockchain mampu mencapai poin fundamental ini, dan kedua sifat manusia selalu menjadi mata rantai terlemah. Banyak teknik hacking saat ini berada di luar imajinasi kebanyakan dari kita. Meskipun kami selalu mengatakan bahwa serangan dan pertahanan adalah keseimbangan antara biaya dan dampak, ketika Anda tidak memiliki aset besar, tidak ada peretas yang akan membuang waktu untuk menargetkan Anda. Namun bila ada banyak target seperti Anda, akan sangat menguntungkan bagi para peretas untuk melancarkan serangan.

Saran keamanan saya sangat sederhana: Tidak percaya secara default (yaitu mempertanyakan semuanya secara default), dan melakukan verifikasi berkelanjutan. Verifikasi adalah tindakan keamanan utama di sini, dan verifikasi berkelanjutan pada dasarnya berarti bahwa keamanan tidak pernah dalam keadaan statis, aman sekarang bukan berarti aman besok. Kemampuan untuk memverifikasi dengan benar merupakan tantangan terbesar bagi kita semua, namun ini cukup menarik, karena Anda akan menguasai banyak pengetahuan dalam prosesnya. Jika Anda cukup kuat, tidak ada yang bisa dengan mudah menyakiti Anda.

Keamanan Kriptografis adalah Keamanan

Kriptografi sangat kuat dan penting. Tanpa semua kerja keras para kriptografer, semua algoritma kriptografi yang solid & implementasi rekayasa, tidak akan ada teknologi komunikasi modern, Internet, atau teknologi blockchain. Namun, beberapa orang menganggap keamanan kriptografi sebagai keamanan mutlak. Dan timbullah banyak pertanyaan aneh:

Bukankah blockchain sangat aman sehingga butuh triliunan tahun untuk memecahkan kunci pribadi? Kenapa FBI bisa mendekripsi Dark Web Bitcoin? Mengapa NFT Jay Chou bisa dicuri?

Saya dapat menerima pertanyaan-pertanyaan pemula ini… yang tidak dapat saya terima adalah kenyataan bahwa banyak yang disebut profesional keamanan menggunakan konsep keamanan kriptografi untuk membodohi publik, mereka menyebutkan istilah-istilah seperti enkripsi tingkat militer, enkripsi terbaik dunia, kosmik -enkripsi tingkat, keamanan sistem absolut, tidak dapat diretas, dll.

Peretas? Mereka tidak peduli…

Apakah memalukan untuk diretas?

Memang benar bahwa diretas dapat menimbulkan perasaan campur aduk, dan terkadang ada rasa malu. Namun perlu Anda pahami bahwa diretas hampir dijamin 100% jadi tidak perlu malu.

Sekali diretas, tidak masalah jika Anda hanya bertanggung jawab pada diri sendiri. Namun, jika Anda bertanggung jawab terhadap banyak orang lain, Anda harus transparan dan terbuka ketika menangani insiden tersebut.

Meskipun orang mungkin mempertanyakan atau bahkan menuduh Anda melakukan peretasan sendiri, proses pembaruan yang transparan dan terbuka akan selalu membawa keberuntungan dan pengertian.

Anggap saja seperti ini: jika proyek Anda tidak terkenal, tidak ada yang akan meretas Anda. Yang memalukan bukan karena diretas; rasa malunya adalah kesombonganmu.

Dari sudut pandang kemungkinan, peretasan adalah fenomena umum, biasanya sebagian besar masalah keamanan hanyalah masalah kecil, yang dapat membantu proyek Anda berkembang. Namun, masalah besar yang parah masih harus dihindari sebisa mungkin.

Segera Perbarui

Seringkali buku pegangan ini menyarankan untuk memperhatikan pembaruan. Jika ada pembaruan keamanan yang tersedia, segera terapkan. Sekarang pikirkan baik-baik, apakah ini solusi terbaik?

Sebenarnya, dalam banyak kasus, “perbarui sekarang” adalah hal yang benar untuk dilakukan. Namun, ada kalanya dalam sejarah ketika pembaruan memecahkan satu masalah namun menimbulkan masalah lain. Contohnya adalah iPhone dan Google Authenticator:

Ada risiko pembaruan iOS 15 baru, yaitu informasi di Google Authenticator mungkin terhapus atau berlipat ganda setelah peningkatan iPhone. Dalam hal ini, jangan pernah menghapus entri duplikat jika ternyata entri tersebut berlipat ganda, karena dapat menyebabkan hilangnya semua informasi di Google Authenticator setelah dibuka kembali.

Bagi yang belum mengupgrade ke sistem iOS 15 dan menggunakan Google Authenticator, sangat disarankan untuk melakukan backup sebelum melakukan upgrade.

Belakangan, Google telah memperbarui aplikasi Authenticator, memecahkan masalah ini secara permanen.

Selain itu, saya tidak menyarankan memperbarui dompet secara sering, terutama untuk dompet dengan banyak aset, kecuali jika ada patch keamanan besar, atau fitur yang sangat penting yang menyebabkan pembaruan yang tidak dapat dihindari. dalam hal ini Anda harus melakukan penilaian risiko sendiri dan membuat keputusan sendiri.

Kesimpulan

Ingatlah bahwa buku pegangan ini dimulai dengan diagram ini 🙂

Pernahkah Anda memperhatikan bahwa saya telah menandai orang dalam diagram dengan warna merah?, Saya melakukannya untuk mengingatkan kembali semua orang bahwa manusia adalah dasar dari segalanya (disebut sebagai “prinsip antropik” dalam kosmologi). Tidak peduli apakah itu keamanan sifat manusia, atau kemampuan menguasai keterampilan keamanan, semuanya tergantung pada Anda. Ya, jika Anda cukup kuat, tidak ada yang bisa dengan mudah menyakiti Anda.

Saya mulai memperluas berdasarkan diagram, dan menjelaskan banyak poin kunci keamanan dalam tiga proses, membuat dompet, membuat cadangan dompet, dan menggunakan dompet. Lalu saya memperkenalkan perlindungan privasi tradisional. Saya menyatakan bahwa hal-hal tradisional seperti itu adalah landasan dan landasan bagi kita untuk tetap aman dalam ekosistem blockchain. Bagian keamanan alam manusia tidak dapat diabaikan. Ada baiknya untuk memahami lebih banyak tentang berbagai cara melakukan kejahatan, terutama jika Anda masuk ke dalam beberapa lubang, kesadaran keamanan di atas kertas pada akhirnya dapat menjadi pengalaman keamanan Anda. Tidak ada keamanan mutlak, jadi saya menjelaskan apa yang harus dilakukan jika Anda diretas. Saya tidak ingin kejadian buruk menimpa Anda, namun jika hal itu terjadi, saya harap buku panduan ini dapat membantu Anda. Hal terakhir adalah membicarakan beberapa kesalahpahaman. Niat saya sangat sederhana, saya harap Anda dapat membangun pemikiran kritis Anda sendiri, karena dunia ini indah sekaligus mengerikan.

Saya sudah lama tidak menulis begitu banyak kata. Saya pikir terakhir kali adalah 10 tahun yang lalu ketika saya menulis buku “Web 前端黑客技术揭秘“. Rasanya cukup pahit. Setelah bertahun-tahun berkecimpung dalam keamanan web dan keamanan siber, saya memimpin tim untuk membuat ZoomEye, mesin pencari dunia maya. Dalam bidang keamanan siber, saya telah berkecimpung di banyak bidang, hanya beberapa di antaranya yang dapat saya katakan sebagai keahlian saya.

Sekarang dalam keamanan blockchain, SlowMist dan saya sendiri dianggap sebagai pionir. Ada begitu banyak kasus yang kami temui pada tahun-tahun ini sehingga Anda hampir dapat berpikir bahwa kami berada dalam kondisi trance setiap hari. Sangat disayangkan banyak wawasan yang tidak terekam dan dibagikan. Dan alhasil, atas desakan beberapa teman, lahirlah buku panduan ini.

Ketika Anda telah selesai membaca buku panduan ini, Anda harus berlatih, menjadi mahir dan menarik kesimpulan. Ketika Anda memiliki penemuan atau pengalaman sendiri setelahnya, saya harap Anda dapat berkontribusi. Jika Anda merasa ada informasi sensitif, Anda dapat menyembunyikannya, atau menganonimkan informasi tersebut.

Dan yang terakhir, berkat kematangan global dalam legislasi dan penegakan hukum terkait keamanan dan privasi; terima kasih atas upaya semua perintis kriptografer, insinyur, peretas etis, dan semua pihak yang terlibat dalam penciptaan dunia yang lebih baik, termasuk Satoshi Nakamoto.

Lampiran

Aturan dan prinsip keamanan

Aturan dan prinsip keamanan yang disebutkan dalam buku panduan ini dirangkum sebagai berikut. Cukup banyak aturan yang dimasukkan ke dalam teks di atas dan tidak akan dijelaskan secara khusus di sini.

Dua aturan keamanan utama:

• Tidak ada kepercayaan. Sederhananya, tetaplah skeptis, dan selalu tetap demikian.
• Validasi berkelanjutan. Untuk memercayai sesuatu, Anda harus memvalidasi apa yang Anda ragukan, dan menjadikan memvalidasi sebagai kebiasaan.

Prinsip keamanan:

• Untuk semua pengetahuan dari Internet, rujuklah setidaknya pada dua sumber, saling menguatkan, dan selalu bersikap skeptis.
• Memisahkan. Jangan menaruh semua telur dalam satu keranjang.
• Untuk dompet dengan aset penting, jangan melakukan pembaruan yang tidak perlu.
• Apa yang Anda lihat adalah apa yang Anda tandatangani. Anda perlu menyadari apa yang Anda tandatangani, dan hasil yang diharapkan setelah transaksi yang ditandatangani dikirimkan. Jangan melakukan hal-hal yang akan membuat Anda menyesal di kemudian hari.
• Perhatikan pembaruan keamanan sistem. Terapkan segera setelah tersedia.
• Jangan mendownload & menginstal program sembarangan justru dapat mencegah sebagian besar risiko.

Kontributor

Terima kasih kepada para kontributor, daftar ini akan terus diperbarui dan saya harap Anda dapat menghubungi saya jika ada ide untuk buku panduan ini.

Karena, Twitter(@evilcos)、即刻(@余弦.jpg)

Kontributor

Istri saya SlowMist, Twitter (@SlowMist_Team), misal Pds, Johan, Kong, Kirk, Thinking, Blue, Lisa, Keywolf... Aplikasi Jike Beberapa teman anonim... Lainnya: https://darkhandbook.io/contributors.html

Jika kontribusi Anda diterima untuk dimasukkan dalam buku panduan ini, Anda akan ditambahkan ke daftar kontributor.

Misalnya: memberikan saran atau kasus pertahanan keselamatan tertentu; berpartisipasi dalam pekerjaan penerjemahan; memperbaiki kesalahan yang lebih besar, dll.

Situs Resmi

SlowMist https://www.slowmist.com CoinMarketCap https://coinmarketcap.com/ Sparrow Wallet https://sparrowwallet.com/ MetaMask https://metamask.io/ imToken https://token.im/ Trust Wallet https ://trustwallet.com/ Gnosis Safe https://gnosis-safe.io/ ZenGo https://zengo.com/ Fireblocks https://www.fireblocks.com/ Safeheron https://www.safeheron.com/ Keystone https://keyst.one/ Trezor https://trezor.io/ Rabby https://rabby.io/ EdgeWallet https://edge.app/ MyEtherWallet https://www.myetherwallet.com/ Phantom https: //phantom.app/ Tornado Cash https://tornado.cash/ Binance https://www.binance.com/ Coinbase https://coinbase.com Senyawa https://compound.finance/ SushiSwap https://www .sushi.com/ OpenSea https://opensea.io/ Revoke.cash https://revoke.cash/ APPROVED.zone https://approved.zone/ 即刻 https://okjike.com/ Kaspersky https:// www.kaspersky.com.cn/ Bitdefender https://www.bitdefender.com/ Cloudflare https://www.cloudflare.com/ Akamai https://www.akamai.com/ SURVEILLANCE PERTAHANAN DIRI https://ssd .eff.org/ Panduan Privasi https://www.privacytools.io/ OpenPGP https://www.openpgp.org/ GPG https://gnupg.org/ GPG Suite https://gpgtools.org/ Gpg4win https: //www.gpg4win.org/ 1Password https://1password.com/ Bitwarden https://bitwarden.com/ Google Authenticator https://support.google.com/accounts/answer/1066447 Microsoft Authenticator https://www .microsoft.com/en-us/security/mobile-authenticator-app ProtonMail https://protonmail.com/ Tutanota https://tutanota.com/ VMware Workstation https://www.vmware.com/products/workstation- pro.html Paralel https://www.parallels.com/